PCI DSS 3.2.1 Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları
Aşağıdaki makalede, Azure İlkesi Mevzuat Uyumluluğu yerleşik girişim tanımının PCI DSS 3.2.1'deki uyumluluk etki alanları ve denetimlerle nasıl eşlenmiş olduğu ayrıntılı olarak anlatilmektedir. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . PCI DSS 3.2.1. Sahipliği anlamak için bkz. Azure İlkesi ilke tanımı ve Bulutta paylaşılan sorumluluk.
Aşağıdaki eşlemeler PCI DSS 3.2.1 denetimlerine yöneliktir. Denetimlerin çoğu Azure İlkesi girişim tanımıyla uygulanır. Girişim tanımının tamamını gözden geçirmek için Azure portalında İlke'yi açın ve Tanımlar sayfasını seçin. Ardından PCI v3.2.1:2018 Mevzuat Uyumluluğu yerleşik girişim tanımını bulun ve seçin.
Önemli
Aşağıdaki her denetim bir veya daha fazla Azure İlkesi tanımıyla ilişkilendirilir. Bu ilkeler denetimle uyumluluğu değerlendirmenize yardımcı olabilir; ancak genellikle bir denetim ile bir veya daha fazla ilke arasında bire bir veya tam eşleşme yoktur. Bu nedenle, Azure İlkesi uyumlu yalnızca ilke tanımlarını ifade eder; bu, bir denetimin tüm gereksinimleriyle tam olarak uyumlu olduğunuzdan emin olmaz. Buna ek olarak, uyumluluk standardı şu anda hiçbir Azure İlkesi tanımı tarafından ele alınmayacak denetimleri içerir. Bu nedenle, Azure İlkesi uyumluluk, genel uyumluluk durumunuzun yalnızca kısmi bir görünümüdür. Bu uyumluluk standardı için uyumluluk etki alanları, denetimler ve Azure İlkesi tanımları arasındaki ilişkilendirmeler zaman içinde değişebilir. Değişiklik geçmişini görüntülemek için bkz . GitHub İşleme Geçmişi.
Gereksinim 1
PCI DSS gereksinimi 1.3.2
Kimlik: PCI DSS v3.2.1 1.3.2 Sahipliği: müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
PCI DSS gereksinimi 1.3.4
Kimlik: PCI DSS v3.2.1 1.3.4 Sahipliği: müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
Gereksinim 10
PCI DSS gereksinimi 10.5.4
Kimlik: PCI DSS v3.2.1 10.5.4 Sahipliği: paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Seçili kaynak türleri için tanılama ayarını denetleme | Seçili kaynak türleri için tanılama ayarını denetleyin. Yalnızca tanılama ayarlarını destekleyen kaynak türlerini seçtiğinizden emin olun. | AuditIfNotExists | 2.0.1 |
| SQL server'da denetim etkinleştirilmelidir | Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için depolama hesaplarınız için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için sanal makineleriniz için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Gereksinim 11
PCI DSS gereksinimi 11.2.1
Kimlik: PCI DSS v3.2.1 11.2.1 Sahiplik: paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure Güvenlik Merkezi'da eksik Endpoint Protection'ın izlenmesi | Endpoint Protection aracısı yüklü olmayan sunucular Azure Güvenlik Merkezi tarafından öneri olarak izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir | Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. | AuditIfNotExists, Devre Dışı | 4.1.0 |
| Sistem güncelleştirmeleri makinelerinize yüklenmelidir | Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 4.0.0 |
| Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
Gereksinim 3
PCI DSS gereksinimi 3.2
Kimlik: PCI DSS v3.2.1 3.2 Sahipliği: müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
| Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
PCI DSS gereksinimi 3.4
Kimlik: PCI DSS v3.2.1 3.4 Sahipliği: müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 4.0.0 |
| Otomasyon hesabı değişkenleri şifrelenmelidir | Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelenmesini etkinleştirmek önemlidir | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| İşlev uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 5.0.0 |
| Yalnızca Redis için Azure Cache güvenli bağlantılar etkinleştirilmelidir | yalnızca SSL üzerinden Redis için Azure Cache bağlantıların etkinleştirilmesini denetleyin. Güvenli bağlantıların kullanılması sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesaplarına güvenli aktarım etkinleştirilmelidir | Depolama hesabınızda güvenli aktarım denetimi gereksinimi. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır | Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenmesini ve dijital olarak imzalanmasını sağlamak için koruma düzeyini ayarlayın | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir | Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Sanal makineler, İşlem ve Depolama kaynakları arasındaki geçici diskleri, önbellekleri ve veri akışlarını şifrelemelidir | Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir. Geçici diskler, veri önbellekleri ve işlem ile depolama arasında akan veriler şifrelenmez. Şu durumda bu öneriyi göz ardı edin: 1. veya 2 kullanarak. Yönetilen Diskler sunucu tarafı şifrelemesi güvenlik gereksinimlerinizi karşılar. Daha fazla bilgi için bkz. Azure Disk Depolama sunucu tarafı şifrelemesi: https://aka.ms/disksse, Farklı disk şifreleme teklifleri:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Devre Dışı | 2.0.3 |
Gereksinim 4
PCI DSS gereksinimi 4.1
Kimlik: PCI DSS v3.2.1 4.1 Sahipliği: müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 4.0.0 |
| Otomasyon hesabı değişkenleri şifrelenmelidir | Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelenmesini etkinleştirmek önemlidir | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| İşlev uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 5.0.0 |
| Yalnızca Redis için Azure Cache güvenli bağlantılar etkinleştirilmelidir | yalnızca SSL üzerinden Redis için Azure Cache bağlantıların etkinleştirilmesini denetleyin. Güvenli bağlantıların kullanılması sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesaplarına güvenli aktarım etkinleştirilmelidir | Depolama hesabınızda güvenli aktarım denetimi gereksinimi. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır | Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenmesini ve dijital olarak imzalanmasını sağlamak için koruma düzeyini ayarlayın | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir | Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Sanal makineler, İşlem ve Depolama kaynakları arasındaki geçici diskleri, önbellekleri ve veri akışlarını şifrelemelidir | Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir. Geçici diskler, veri önbellekleri ve işlem ile depolama arasında akan veriler şifrelenmez. Şu durumda bu öneriyi göz ardı edin: 1. veya 2 kullanarak. Yönetilen Diskler sunucu tarafı şifrelemesi güvenlik gereksinimlerinizi karşılar. Daha fazla bilgi için bkz. Azure Disk Depolama sunucu tarafı şifrelemesi: https://aka.ms/disksse, Farklı disk şifreleme teklifleri:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Devre Dışı | 2.0.3 |
Gereksinim 5
PCI DSS gereksinimi 5.1
Kimlik: PCI DSS v3.2.1 5.1 Sahipliği: paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure Güvenlik Merkezi'da eksik Endpoint Protection'ın izlenmesi | Endpoint Protection aracısı yüklü olmayan sunucular Azure Güvenlik Merkezi tarafından öneri olarak izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir | Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. | AuditIfNotExists, Devre Dışı | 4.1.0 |
| Sistem güncelleştirmeleri makinelerinize yüklenmelidir | Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 4.0.0 |
| Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
Gereksinim 6
PCI DSS gereksinimi 6.2
Kimlik: PCI DSS v3.2.1 6.2 Sahipliği: paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure Güvenlik Merkezi'da eksik Endpoint Protection'ın izlenmesi | Endpoint Protection aracısı yüklü olmayan sunucular Azure Güvenlik Merkezi tarafından öneri olarak izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir | Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. | AuditIfNotExists, Devre Dışı | 4.1.0 |
| Sistem güncelleştirmeleri makinelerinize yüklenmelidir | Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 4.0.0 |
| Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
PCI DSS gereksinimi 6.5.3
Kimlik: PCI DSS v3.2.1 6.5.3 Sahiplik: paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 4.0.0 |
| Otomasyon hesabı değişkenleri şifrelenmelidir | Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelenmesini etkinleştirmek önemlidir | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| İşlev uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 5.0.0 |
| Yalnızca Redis için Azure Cache güvenli bağlantılar etkinleştirilmelidir | yalnızca SSL üzerinden Redis için Azure Cache bağlantıların etkinleştirilmesini denetleyin. Güvenli bağlantıların kullanılması sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesaplarına güvenli aktarım etkinleştirilmelidir | Depolama hesabınızda güvenli aktarım denetimi gereksinimi. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır | Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenmesini ve dijital olarak imzalanmasını sağlamak için koruma düzeyini ayarlayın | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir | Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Sanal makineler, İşlem ve Depolama kaynakları arasındaki geçici diskleri, önbellekleri ve veri akışlarını şifrelemelidir | Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir. Geçici diskler, veri önbellekleri ve işlem ile depolama arasında akan veriler şifrelenmez. Şu durumda bu öneriyi göz ardı edin: 1. veya 2 kullanarak. Yönetilen Diskler sunucu tarafı şifrelemesi güvenlik gereksinimlerinizi karşılar. Daha fazla bilgi için bkz. Azure Disk Depolama sunucu tarafı şifrelemesi: https://aka.ms/disksse, Farklı disk şifreleme teklifleri:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Devre Dışı | 2.0.3 |
PCI DSS gereksinimi 6.6
Kimlik: PCI DSS v3.2.1 6.6 Sahipliği: paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Azure Güvenlik Merkezi'da eksik Endpoint Protection'ın izlenmesi | Endpoint Protection aracısı yüklü olmayan sunucular Azure Güvenlik Merkezi tarafından öneri olarak izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir | Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. | AuditIfNotExists, Devre Dışı | 4.1.0 |
| Sistem güncelleştirmeleri makinelerinize yüklenmelidir | Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 4.0.0 |
| Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
Gereksinim 7
PCI DSS gereksinimi 7.1.1
Kimlik: PCI DSS v3.2.1 7.1.1 Sahipliği: müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Aboneliğiniz için en fazla 3 sahip belirlenmelidir | Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Aboneliğinize birden fazla sahip atanmış olmalıdır | Yönetici erişimi yedekliliğine sahip olmak için birden fazla abonelik sahibi atamanız önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
PCI DSS gereksinimi 7.1.2
Kimlik: PCI DSS v3.2.1 7.1.2 Sahipliği: paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Aboneliğiniz için en fazla 3 sahip belirlenmelidir | Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Aboneliğinize birden fazla sahip atanmış olmalıdır | Yönetici erişimi yedekliliğine sahip olmak için birden fazla abonelik sahibi atamanız önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
PCI DSS gereksinimi 7.1.3
Kimlik: PCI DSS v3.2.1 7.1.3 Sahiplik: müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Aboneliğiniz için en fazla 3 sahip belirlenmelidir | Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibi ataması önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Aboneliğinize birden fazla sahip atanmış olmalıdır | Yönetici erişimi yedekliliğine sahip olmak için birden fazla abonelik sahibi atamanız önerilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
PCI DSS gereksinimi 7.2.1
Kimlik: PCI DSS v3.2.1 7.2.1 Sahiplik: müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
| Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Gereksinim 8
PCI DSS gereksinimi 8.1.2
Kimlik: PCI DSS v3.2.1 8.1.2 Sahipliği: müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır | Sahip izinleri olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır | Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
PCI DSS gereksinimi 8.1.3
Kimlik: PCI DSS v3.2.1 8.1.3 Sahipliği: müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır | Sahip izinleri olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır | Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
PCI DSS gereksinimi 8.1.5
Kimlik: PCI DSS v3.2.1 8.1.5 Sahipliği: paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır | Sahip izinleri olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır | Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
PCI DSS gereksinimi 8.2.3
Kimlik: PCI DSS v3.2.1 8.2.3 Sahiplik: müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Belirtilen sayıda benzersiz paroladan sonra parolaların yeniden kullanılmasına izin veren Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Belirtilen sayıda benzersiz paroladan sonra parolaların yeniden kullanılmasına izin veren Windows makineleri uyumlu değil. Benzersiz parolalar için varsayılan değer 24'dür | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Parola yaşı üst sınırı belirtilen gün sayısına ayarlı olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parola yaşı üst sınırı belirtilen gün sayısına ayarlanmamış Windows makineleri uyumlu değildir. En fazla parola yaşı için varsayılan değer 70 gündür | AuditIfNotExists, Devre Dışı | 2.1.0 |
| En düşük parola uzunluğunu belirtilen sayıda karakterle kısıtlamayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. En düşük parola uzunluğunu belirtilen sayıda karakterle kısıtlamayan Windows makineleri uyumlu değildir. En düşük parola uzunluğu için varsayılan değer 14 karakterdir | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
PCI DSS gereksinimi 8.2.5
Kimlik: PCI DSS v3.2.1 8.2.5 Sahipliği: müşteri
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Belirtilen sayıda benzersiz paroladan sonra parolaların yeniden kullanılmasına izin veren Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Belirtilen sayıda benzersiz paroladan sonra parolaların yeniden kullanılmasına izin veren Windows makineleri uyumlu değil. Benzersiz parolalar için varsayılan değer 24'dür | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Parola yaşı üst sınırı belirtilen gün sayısına ayarlı olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parola yaşı üst sınırı belirtilen gün sayısına ayarlanmamış Windows makineleri uyumlu değildir. En fazla parola yaşı için varsayılan değer 70 gündür | AuditIfNotExists, Devre Dışı | 2.1.0 |
| En düşük parola uzunluğunu belirtilen sayıda karakterle kısıtlamayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. En düşük parola uzunluğunu belirtilen sayıda karakterle kısıtlamayan Windows makineleri uyumlu değildir. En düşük parola uzunluğu için varsayılan değer 14 karakterdir | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
PCI DSS gereksinimi 8.3.1
Kimlik: PCI DSS v3.2.1 8.3.1 Sahiplik: paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Özel RBAC rollerinin kullanımını denetleme | Hataya açık özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanılması özel durum olarak değerlendirilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir | Denetim, Devre Dışı | 1.0.1 |
| Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Sonraki adımlar
Azure İlkesi hakkında ek makaleler:
- Mevzuat Uyumluluğuna genel bakış.
- Girişim tanımı yapısına bakın.
- Azure İlkesi örneklerinde diğer örnekleri gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.
- Uyumlu olmayan kaynakları düzeltmeyi öğrenin.