你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

CIS Microsoft Azure 基础基准 1.4.0 法规合规性内置计划的详细信息

下文详细说明了 Azure Policy 法规合规性内置计划定义如何映射到 CIS Microsoft Azure 基础基准 1.4.0 的合规性域和控制措施。 有关此合规性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准 1.4.0。 如需了解所有权,请查看策略类型云中责任分担

以下映射适用于 CIS Microsoft Azure 基础基准 1.4.0 控制措施。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义,请在 Azure 门户中打开“策略”,并选择“定义”页 。 然后,请查找并选择 CIS Microsoft Azure 基础基准 v1.4.0 法规合规性内置计划定义。

重要

下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略定义本身;这并不能确保你完全符合某个控制措施的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录,请参阅 GitHub 提交历史记录

1 标识和访问管理

确保所有特权用户的“多重身份验证状态”为“已启用”

ID:CIS Microsoft Azure 基础基准建议 1.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
对 Azure 资源拥有所有者权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
对 Azure 资源拥有写入权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
采用生物识别身份验证机制 CMA_0005 - 采用生物识别身份验证机制 手动、已禁用 1.1.0

ID:CIS Microsoft Azure 基础基准建议 1.10;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0

确保“用户可以注册应用程序”设置为“否”

ID:CIS Microsoft Azure 基础基准建议 1.11;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0

确保将“来宾用户访问限制”设置为“来宾用户访问权限限制为其自己的目录对象的属性和成员身份”

ID:CIS Microsoft Azure 基础基准建议 1.12;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
设计访问控制模型 CMA_0129 - 设计访问控制模型 手动、已禁用 1.1.0
采用最小特权访问 CMA_0212 - 采用最小特权访问 手动、已禁用 1.1.0
强制执行逻辑访问 CMA_0245 - 强制执行逻辑访问 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
需要批准才能创建帐户 CMA_0431 - 需要批准才能创建帐户 手动、已禁用 1.1.0
查看有权访问敏感数据的用户组和应用程序 CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 手动、已禁用 1.1.0

确保将“来宾邀请限制”设置为“仅分配到特定管理员角色的用户可以邀请来宾用户”

ID:CIS Microsoft Azure 基础基准建议 1.13;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
设计访问控制模型 CMA_0129 - 设计访问控制模型 手动、已禁用 1.1.0
采用最小特权访问 CMA_0212 - 采用最小特权访问 手动、已禁用 1.1.0
强制执行逻辑访问 CMA_0245 - 强制执行逻辑访问 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
需要批准才能创建帐户 CMA_0431 - 需要批准才能创建帐户 手动、已禁用 1.1.0
查看有权访问敏感数据的用户组和应用程序 CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 手动、已禁用 1.1.0

确保将“限制对 Azure AD 管理门户的访问”设置为“是”

ID:CIS Microsoft Azure 基础基准建议 1.14;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制执行逻辑访问 CMA_0245 - 强制执行逻辑访问 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
需要批准才能创建帐户 CMA_0431 - 需要批准才能创建帐户 手动、已禁用 1.1.0
查看有权访问敏感数据的用户组和应用程序 CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 手动、已禁用 1.1.0

确保将“限制用户在访问窗格中访问组功能的权限”设为“是”

ID:CIS Microsoft Azure 基础基准建议 1.15;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0

确保将“用户可以在 Azure 门户、API 或 PowerShell 中创建安全组”设置为“否”

ID:CIS Microsoft Azure 基础基准建议 1.16;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0

确保“所有者可以在访问面板中管理组成员资格请求”设置为“否”

ID:CIS Microsoft Azure 基础基准建议 1.17;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0

确保将“用户可以在 Azure 门户、API 或 PowerShell 中创建 Microsoft 365 组”设置为“否”

ID:CIS Microsoft Azure 基础基准建议 1.18;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0

确保将“需要多重身份验证才能向 Azure AD 注册或加入设备”设置为“是”

ID:CIS Microsoft Azure 基础基准建议 1.19;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
采用生物识别身份验证机制 CMA_0005 - 采用生物识别身份验证机制 手动、已禁用 1.1.0
授权远程访问 CMA_0024 - 授权远程访问 手动、已禁用 1.1.0
记录移动性培训 CMA_0191 - 记录移动性培训 手动、已禁用 1.1.0
记录远程访问准则 CMA_0196 - 记录远程访问准则 手动、已禁用 1.1.0
标识并验证网络设备 CMA_0296 - 标识并验证网络设备 手动、已禁用 1.1.0
实施控制措施来保护备用工作站点 CMA_0315 - 实施控制措施来保护备用工作站点 手动、已禁用 1.1.0
提供隐私培训 CMA_0415 - 提供隐私培训 手动、已禁用 1.1.0
满足令牌质量要求 CMA_0487 - 满足令牌质量要求 手动、已禁用 1.1.0

确保所有非特权用户的“多重身份验证状态”为“已启用”

ID:CIS Microsoft Azure 基础基准建议 1.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
对 Azure 资源拥有读取权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
采用生物识别身份验证机制 CMA_0005 - 采用生物识别身份验证机制 手动、已禁用 1.1.0

确保未创建任何自定义订阅所有者角色

ID:CIS Microsoft Azure 基础基准建议 1.20;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
设计访问控制模型 CMA_0129 - 设计访问控制模型 手动、已禁用 1.1.0
采用最小特权访问 CMA_0212 - 采用最小特权访问 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0

确保在 Azure Active Directory 上启用安全默认值

ID:CIS Microsoft Azure 基础基准建议 1.21;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
采用生物识别身份验证机制 CMA_0005 - 采用生物识别身份验证机制 手动、已禁用 1.1.0
对加密模块进行身份验证 CMA_0021 - 对加密模块进行身份验证 手动、已禁用 1.1.0
授权远程访问 CMA_0024 - 授权远程访问 手动、已禁用 1.1.0
记录移动性培训 CMA_0191 - 记录移动性培训 手动、已禁用 1.1.0
记录远程访问准则 CMA_0196 - 记录远程访问准则 手动、已禁用 1.1.0
标识并验证网络设备 CMA_0296 - 标识并验证网络设备 手动、已禁用 1.1.0
实施控制措施来保护备用工作站点 CMA_0315 - 实施控制措施来保护备用工作站点 手动、已禁用 1.1.0
提供隐私培训 CMA_0415 - 提供隐私培训 手动、已禁用 1.1.0
满足令牌质量要求 CMA_0487 - 满足令牌质量要求 手动、已禁用 1.1.0

确保为自定义角色分配了管理资源锁的权限

ID:CIS Microsoft Azure 基础基准建议 1.22;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0

确保每月对来宾用户进行审核

ID:CIS Microsoft Azure 基础基准建议 1.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
应删除对 Azure 资源拥有所有者权限的来宾帐户 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 AuditIfNotExists、Disabled 1.0.0
应删除对 Azure 资源拥有读取权限的来宾帐户 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 1.0.0
应删除对 Azure 资源拥有写入权限的来宾帐户 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 1.0.0
根据需要重新分配或移除用户权限 CMA_C1040 - 根据需要重新分配或移除用户权限 手动、已禁用 1.1.0
查看帐户预配日志 CMA_0460 - 查看帐户预配日志 手动、已禁用 1.1.0
审查用户帐户 CMA_0480 - 审查用户帐户 手动、已禁用 1.1.0
查看用户权限 CMA_C1039 - 查看用户权限 手动、已禁用 1.1.0

确保已启用“在所有记住的设备上还原多重身份验证”

ID:CIS Microsoft Azure 基础基准建议 1.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
采用生物识别身份验证机制 CMA_0005 - 采用生物识别身份验证机制 手动、已禁用 1.1.0
标识并验证网络设备 CMA_0296 - 标识并验证网络设备 手动、已禁用 1.1.0
满足令牌质量要求 CMA_0487 - 满足令牌质量要求 手动、已禁用 1.1.0

确保“要求用户重新确认其身份验证信息之前的天数”设为“0”

ID:CIS Microsoft Azure 基础基准建议 1.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
自动执行帐户管理 CMA_0026 - 自动执行帐户管理 手动、已禁用 1.1.0
管理系统和管理员帐户 CMA_0368 - 管理系统和管理员帐户 手动、已禁用 1.1.0
监视整个组织的访问权限 CMA_0376 - 监视整个组织的访问权限 手动、已禁用 1.1.0
当不需要帐户时通知 CMA_0383 - 当不需要帐户时通知 手动、已禁用 1.1.0

确保“重置密码时通知用户?” 设置为“是”

ID:CIS Microsoft Azure 基础基准建议 1.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
自动执行帐户管理 CMA_0026 - 自动执行帐户管理 手动、已禁用 1.1.0
进行验证器保护培训 CMA_0329 - 进行验证器保护的培训 手动、已禁用 1.1.0
管理系统和管理员帐户 CMA_0368 - 管理系统和管理员帐户 手动、已禁用 1.1.0
监视整个组织的访问权限 CMA_0376 - 监视整个组织的访问权限 手动、已禁用 1.1.0
当不需要帐户时通知 CMA_0383 - 当不需要帐户时通知 手动、已禁用 1.1.0

确保“当其他管理员重置其密码时通知所有管理员?” 设置为“是”

ID:CIS Microsoft Azure 基础基准建议 1.8;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
自动执行帐户管理 CMA_0026 - 自动执行帐户管理 手动、已禁用 1.1.0
进行验证器保护培训 CMA_0329 - 进行验证器保护的培训 手动、已禁用 1.1.0
管理系统和管理员帐户 CMA_0368 - 管理系统和管理员帐户 手动、已禁用 1.1.0
监视整个组织的访问权限 CMA_0376 - 监视整个组织的访问权限 手动、已禁用 1.1.0
监视特权角色分配 CMA_0378 - 监视特权角色分配 手动、已禁用 1.1.0
当不需要帐户时通知 CMA_0383 - 当不需要帐户时通知 手动、已禁用 1.1.0
限制对特权帐户的访问 CMA_0446 - 限制对特权帐户的访问权限 手动、已禁用 1.1.0
根据需要撤销特权角色 CMA_0483 - 根据需要撤销特权角色 手动、已禁用 1.1.0
使用特权标识管理 CMA_0533 - 使用特权标识管理 手动、已禁用 1.1.0

ID:CIS Microsoft Azure 基础基准建议 1.9;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0

2 Microsoft Defender for Cloud

确保将 Microsoft Defender for Servers 设置为“开”

ID:CIS Microsoft Azure 基础基准建议 2.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
阻止从 USB 运行不受信任和未签名的进程 CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 手动、已禁用 1.1.0
检测尚未授权或批准的网络服务 CMA_C1700 - 检测尚未授权或批准的网络服务 手动、已禁用 1.1.0
管理网关 CMA_0363 - 管理网关 手动、已禁用 1.1.0
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
每周查看恶意软件检测报告 CMA_0475 - 每周查看恶意软件检测报告 手动、已禁用 1.1.0
每周查看威胁防护状态 CMA_0479 - 每周查看威胁防护状态 手动、已禁用 1.1.0
更新防病毒定义 CMA_0517 - 更新防病毒定义 手动、已禁用 1.1.0

确保已选择 Microsoft Defender for Cloud Apps (MCAS) 与 Microsoft Defender for Cloud 的集成

ID:CIS Microsoft Azure 基础基准建议 2.10;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
阻止从 USB 运行不受信任和未签名的进程 CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 手动、已禁用 1.1.0
检测尚未授权或批准的网络服务 CMA_C1700 - 检测尚未授权或批准的网络服务 手动、已禁用 1.1.0
管理网关 CMA_0363 - 管理网关 手动、已禁用 1.1.0
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
每周查看恶意软件检测报告 CMA_0475 - 每周查看恶意软件检测报告 手动、已禁用 1.1.0
每周查看威胁防护状态 CMA_0479 - 每周查看威胁防护状态 手动、已禁用 1.1.0
更新防病毒定义 CMA_0517 - 更新防病毒定义 手动、已禁用 1.1.0

确保将“用于 Azure VM 的 Log Analytics 代理”的自动预配设置为“开”

ID:CIS Microsoft Azure 基础基准建议 2.11;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
记录安全操作 CMA_0202 - 记录安全操作 手动、已禁用 1.1.0
打开终结点安全解决方案的传感器 CMA_0514 - 打开终结点安全解决方案的传感器 手动、已禁用 1.1.0

确保不要将任何 ASC 默认策略设置设为“禁用”

ID:CIS Microsoft Azure 基础基准建议 2.12;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
为非合规设备配置操作 CMA_0062 - 为非合规设备配置操作 手动、已禁用 1.1.0
开发并维护基线配置 CMA_0153 - 设计并维护基线配置 手动、已禁用 1.1.0
强制执行安全配置设置 CMA_0249 - 强制执行安全配置设置 手动、已禁用 1.1.0
建立配置控制委员会 CMA_0254 - 建立配置控制委员会 手动、已禁用 1.1.0
建立并记录配置管理计划 CMA_0264 - 建立并记录配置管理计划 手动、已禁用 1.1.0
实现自动配置管理工具 CMA_0311 - 实现自动配置管理工具 手动、已禁用 1.1.0

确保“其他电子邮件地址”配置了安全联系人电子邮件

ID:CIS Microsoft Azure 基础基准建议 2.13;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
订阅应有一个联系人电子邮件地址,用于接收安全问题通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 AuditIfNotExists、Disabled 1.0.1

确保将“在出现具有以下严重性的警报时发送通知”设置为“高”

ID:CIS Microsoft Azure 基础基准建议 2.14;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用高严重性警报的电子邮件通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 AuditIfNotExists、Disabled 1.2.0

确保将适用于应用服务的 Microsoft Defender 设置为“开”

ID:CIS Microsoft Azure 基础基准建议 2.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用适用于应用服务的 Azure Defender 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 AuditIfNotExists、Disabled 1.0.3
阻止从 USB 运行不受信任和未签名的进程 CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 手动、已禁用 1.1.0
检测尚未授权或批准的网络服务 CMA_C1700 - 检测尚未授权或批准的网络服务 手动、已禁用 1.1.0
管理网关 CMA_0363 - 管理网关 手动、已禁用 1.1.0
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
每周查看恶意软件检测报告 CMA_0475 - 每周查看恶意软件检测报告 手动、已禁用 1.1.0
每周查看威胁防护状态 CMA_0479 - 每周查看威胁防护状态 手动、已禁用 1.1.0
更新防病毒定义 CMA_0517 - 更新防病毒定义 手动、已禁用 1.1.0

确保将适用于 Azure SQL 数据库的 Microsoft Defender 设置为“开”

ID:CIS Microsoft Azure 基础基准建议 2.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
阻止从 USB 运行不受信任和未签名的进程 CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 手动、已禁用 1.1.0
检测尚未授权或批准的网络服务 CMA_C1700 - 检测尚未授权或批准的网络服务 手动、已禁用 1.1.0
管理网关 CMA_0363 - 管理网关 手动、已禁用 1.1.0
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
每周查看恶意软件检测报告 CMA_0475 - 每周查看恶意软件检测报告 手动、已禁用 1.1.0
每周查看威胁防护状态 CMA_0479 - 每周查看威胁防护状态 手动、已禁用 1.1.0
更新防病毒定义 CMA_0517 - 更新防病毒定义 手动、已禁用 1.1.0

确保将适用于计算机上的 SQL 服务器的 Microsoft Defender 设置为“开”

ID:CIS Microsoft Azure 基础基准建议 2.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用适用于计算机上的 SQL 服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
阻止从 USB 运行不受信任和未签名的进程 CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 手动、已禁用 1.1.0
检测尚未授权或批准的网络服务 CMA_C1700 - 检测尚未授权或批准的网络服务 手动、已禁用 1.1.0
管理网关 CMA_0363 - 管理网关 手动、已禁用 1.1.0
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
每周查看恶意软件检测报告 CMA_0475 - 每周查看恶意软件检测报告 手动、已禁用 1.1.0
每周查看威胁防护状态 CMA_0479 - 每周查看威胁防护状态 手动、已禁用 1.1.0
更新防病毒定义 CMA_0517 - 更新防病毒定义 手动、已禁用 1.1.0

确保将适用于存储的 Microsoft Defender 设置为“开”

ID:CIS Microsoft Azure 基础基准建议 2.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
阻止从 USB 运行不受信任和未签名的进程 CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 手动、已禁用 1.1.0
检测尚未授权或批准的网络服务 CMA_C1700 - 检测尚未授权或批准的网络服务 手动、已禁用 1.1.0
管理网关 CMA_0363 - 管理网关 手动、已禁用 1.1.0
应启用适用于存储的 Microsoft Defender Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 AuditIfNotExists、Disabled 1.0.0
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
每周查看恶意软件检测报告 CMA_0475 - 每周查看恶意软件检测报告 手动、已禁用 1.1.0
每周查看威胁防护状态 CMA_0479 - 每周查看威胁防护状态 手动、已禁用 1.1.0
更新防病毒定义 CMA_0517 - 更新防病毒定义 手动、已禁用 1.1.0

确保将 Microsoft Defender for Kubernetes 设置为“开”

ID:CIS Microsoft Azure 基础基准建议 2.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
阻止从 USB 运行不受信任和未签名的进程 CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 手动、已禁用 1.1.0
检测尚未授权或批准的网络服务 CMA_C1700 - 检测尚未授权或批准的网络服务 手动、已禁用 1.1.0
管理网关 CMA_0363 - 管理网关 手动、已禁用 1.1.0
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
每周查看恶意软件检测报告 CMA_0475 - 每周查看恶意软件检测报告 手动、已禁用 1.1.0
每周查看威胁防护状态 CMA_0479 - 每周查看威胁防护状态 手动、已禁用 1.1.0
更新防病毒定义 CMA_0517 - 更新防病毒定义 手动、已禁用 1.1.0

确保将适用于容器注册表的 Microsoft Defender 设置为“开”

ID:CIS Microsoft Azure 基础基准建议 2.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
阻止从 USB 运行不受信任和未签名的进程 CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 手动、已禁用 1.1.0
检测尚未授权或批准的网络服务 CMA_C1700 - 检测尚未授权或批准的网络服务 手动、已禁用 1.1.0
管理网关 CMA_0363 - 管理网关 手动、已禁用 1.1.0
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
每周查看恶意软件检测报告 CMA_0475 - 每周查看恶意软件检测报告 手动、已禁用 1.1.0
每周查看威胁防护状态 CMA_0479 - 每周查看威胁防护状态 手动、已禁用 1.1.0
更新防病毒定义 CMA_0517 - 更新防病毒定义 手动、已禁用 1.1.0

确保将 Microsoft Defender for Key Vault 设置为“开”

ID:CIS Microsoft Azure 基础基准建议 2.8;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用 Azure Defender for Key Vault 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 AuditIfNotExists、Disabled 1.0.3
阻止从 USB 运行不受信任和未签名的进程 CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 手动、已禁用 1.1.0
检测尚未授权或批准的网络服务 CMA_C1700 - 检测尚未授权或批准的网络服务 手动、已禁用 1.1.0
管理网关 CMA_0363 - 管理网关 手动、已禁用 1.1.0
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
每周查看恶意软件检测报告 CMA_0475 - 每周查看恶意软件检测报告 手动、已禁用 1.1.0
每周查看威胁防护状态 CMA_0479 - 每周查看威胁防护状态 手动、已禁用 1.1.0
更新防病毒定义 CMA_0517 - 更新防病毒定义 手动、已禁用 1.1.0

确保已选择 Microsoft Defender for Endpoint (WDATP) 与 Microsoft Defender for Cloud 的集成

ID:CIS Microsoft Azure 基础基准建议 2.9;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
阻止从 USB 运行不受信任和未签名的进程 CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 手动、已禁用 1.1.0
检测尚未授权或批准的网络服务 CMA_C1700 - 检测尚未授权或批准的网络服务 手动、已禁用 1.1.0
管理网关 CMA_0363 - 管理网关 手动、已禁用 1.1.0
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
每周查看恶意软件检测报告 CMA_0475 - 每周查看恶意软件检测报告 手动、已禁用 1.1.0
每周查看威胁防护状态 CMA_0479 - 每周查看威胁防护状态 手动、已禁用 1.1.0
更新防病毒定义 CMA_0517 - 更新防病毒定义 手动、已禁用 1.1.0

3 存储帐户

确保“需要安全传输”设置为“已启用”

ID:CIS Microsoft Azure 基础基准建议 3.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
配置工作站以检查数字证书 CMA_0073 - 配置工作站以检查数字证书 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
使用加密保护密码 CMA_0408 - 使用加密保护密码 手动、已禁用 1.1.0
应启用安全传输到存储帐户 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 Audit、Deny、Disabled 2.0.0

确保为 Blob 服务启用存储日志记录,用于读取、写入和删除请求

ID:CIS Microsoft Azure 基础基准建议 3.10;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
配置 Azure 审核功能 CMA_C1108 - 配置 Azure 审核功能 手动、已禁用 1.1.1
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保为表服务启用存储日志记录,用于读取、写入和删除请求

ID:CIS Microsoft Azure 基础基准建议 3.11;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
配置 Azure 审核功能 CMA_C1108 - 配置 Azure 审核功能 手动、已禁用 1.1.1
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保将“最低 TLS 版本”设置为“版本 1.2”

ID:CIS Microsoft Azure 基础基准建议 3.12;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
配置工作站以检查数字证书 CMA_0073 - 配置工作站以检查数字证书 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
使用加密保护密码 CMA_0408 - 使用加密保护密码 手动、已禁用 1.1.0

确保定期重新生成存储帐户访问密钥

ID:CIS Microsoft Azure 基础基准建议 3.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
定义物理密钥管理流程 CMA_0115 - 定义物理密钥管理流程 手动、已禁用 1.1.0
定义加密使用 CMA_0120 - 定义加密使用 手动、已禁用 1.1.0
定义加密密钥管理的组织要求 CMA_0123 - 定义加密密钥管理的组织要求 手动、已禁用 1.1.0
确定断言要求 CMA_0136 - 确定断言要求 手动、已禁用 1.1.0
颁发公钥证书 CMA_0347 - 颁发公钥证书 手动、已禁用 1.1.0
管理对称加密密钥 CMA_0367 - 管理对称加密密钥 手动、已禁用 1.1.0
限制对私钥的访问 CMA_0445 - 限制对私钥的访问权限 手动、已禁用 1.1.0

确保为队列服务启用存储日志记录,用于读取、写入和删除请求

ID:CIS Microsoft Azure 基础基准建议 3.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
配置 Azure 审核功能 CMA_C1108 - 配置 Azure 审核功能 手动、已禁用 1.1.1
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保共享访问签名令牌在一小时内过期

ID:CIS Microsoft Azure 基础基准建议 3.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
终止时禁用验证器 CMA_0169 - 终止时禁用验证器 手动、已禁用 1.1.0
根据需要撤销特权角色 CMA_0483 - 根据需要撤销特权角色 手动、已禁用 1.1.0
自动终止用户会话 CMA_C1054 - 自动终止用户会话 手动、已禁用 1.1.0

确保为 Blob 容器将“公共访问级别”设置为“专用”

ID:CIS Microsoft Azure 基础基准建议 3.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:应禁止存储帐户公共访问 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 audit、Audit、deny、Deny、disabled、Disabled 3.1.0-preview
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制执行逻辑访问 CMA_0245 - 强制执行逻辑访问 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
需要批准才能创建帐户 CMA_0431 - 需要批准才能创建帐户 手动、已禁用 1.1.0
查看有权访问敏感数据的用户组和应用程序 CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 手动、已禁用 1.1.0

确保将针对存储帐户的默认网络访问规则设置为“拒绝”

ID:CIS Microsoft Azure 基础基准建议 3.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应限制对存储帐户的网络访问 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 Audit、Deny、Disabled 1.1.1
存储帐户应使用虚拟网络规则来限制网络访问 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 Audit、Deny、Disabled 1.0.1

确保为存储帐户访问启用“受信任的 Microsoft 服务”

ID:CIS Microsoft Azure 基础基准建议 3.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
控制信息流 CMA_0079 - 控制信息流 手动、已禁用 1.1.0
采用加密信息的流控制机制 CMA_0211 - 采用加密信息的流控制机制 手动、已禁用 1.1.0
建立防火墙和路由器配置标准 CMA_0272 - 建立防火墙和路由器配置标准 手动、已禁用 1.1.0
为持卡人数据环境建立网络分段 CMA_0273 - 为持卡人数据环境建立网络分段 手动、已禁用 1.1.0
标识和管理下游信息交换 CMA_0298 - 标识和管理下游信息交换 手动、已禁用 1.1.0
存储帐户应允许从受信任的 Microsoft 服务进行访问 某些与存储帐户交互的 Microsoft 服务在网络上运行,但这些网络无法通过网络规则获得访问权限。 若要帮助此类服务按预期方式工作,请允许受信任的 Microsoft 服务集绕过网络规则。 这些服务随后会使用强身份验证访问存储帐户。 Audit、Deny、Disabled 1.0.0

确保使用客户管理的密钥对关键数据的存储进行加密

ID:CIS Microsoft Azure 基础基准建议 3.9;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0
存储帐户应使用客户管理的密钥进行加密 使用客户管理的密钥更灵活地保护 blob 和文件存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 Audit、Disabled 1.0.3

4 数据库服务

确保“审核”设置为“打开”

ID:CIS Microsoft Azure 基础基准建议 4.1.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
应启用 SQL 服务器上的审核 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 AuditIfNotExists、Disabled 2.0.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保将 SQL 数据库上的“数据加密”设置为“打开”

ID:CIS Microsoft Azure 基础基准建议 4.1.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0
应在 SQL 数据库上启用透明数据加密 应启用透明数据加密以保护静态数据并满足符合性要求 AuditIfNotExists、Disabled 2.0.0

确保审核保留期“大于 90 天”

ID:CIS Microsoft Azure 基础基准建议 4.1.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
遵守定义的保持期 CMA_0004 - 遵守定义的保持期 手动、已禁用 1.1.0
治理并监视审核处理活动 CMA_0289 - 治理并监视审核处理活动 手动、已禁用 1.1.0
保留安全策略和过程 CMA_0454 - 保留安全策略和过程 手动、已禁用 1.1.0
保留终止的用户数据 CMA_0455 - 保留终止的用户数据 手动、已禁用 1.1.0
对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 为便于调查事件,建议将 SQL Server 审核数据在存储帐户目标中的数据保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 AuditIfNotExists、Disabled 3.0.0

确保将 SQL Server 上的高级威胁防护 (ATP) 设置为“已启用”

ID:CIS Microsoft Azure 基础基准建议 4.2.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0

通过设置存储帐户,确保在 SQL Server 上启用了漏洞评估 (VA)

ID:CIS Microsoft Azure 基础基准建议 4.2.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0
应在 SQL 托管实例上启用漏洞评估 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 AuditIfNotExists、Disabled 1.0.1
应对 SQL 服务器启用漏洞评估 审核未正确配置漏洞评估的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 AuditIfNotExists、Disabled 3.0.0

确保针对每个 SQL Server 将 VA 设置“定期扫描”设为“开”

ID:CIS Microsoft Azure 基础基准建议 4.2.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

确保为 SQL Server 配置 VA 设置“将扫描报告发送到”

ID:CIS Microsoft Azure 基础基准建议 4.2.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
关联漏洞扫描信息 CMA_C1558 - 关联漏洞扫描信息 手动、已禁用 1.1.1
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

确保为每个 SQL Server 设置“同时向管理员和订阅所有者发送电子邮件通知”漏洞评估设置

ID:CIS Microsoft Azure 基础基准建议 4.2.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
关联漏洞扫描信息 CMA_C1558 - 关联漏洞扫描信息 手动、已禁用 1.1.1
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

确保 PostgreSQL 数据库服务器的“强制 SSL 连接”设置为“已启用”

ID:CIS Microsoft Azure 基础基准建议 4.3.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
配置工作站以检查数字证书 CMA_0073 - 配置工作站以检查数字证书 手动、已禁用 1.1.0
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 Audit、Disabled 1.0.1
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
使用加密保护密码 CMA_0408 - 使用加密保护密码 手动、已禁用 1.1.0

确保 PostgreSQL 数据库服务器的服务器参数“log_checkpoints”设置为“开”

ID:CIS Microsoft Azure 基础基准建议 4.3.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
应为 PostgreSQL 数据库服务器启用“记录检查点” 此策略帮助审核环境中任何未启用 log_checkpoints 设置的 PostgreSQL 数据库。 AuditIfNotExists、Disabled 1.0.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保 PostgreSQL 数据库服务器的服务器参数“log_connections”设置为“ON”

ID:CIS Microsoft Azure 基础基准建议 4.3.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
应为 PostgreSQL 数据库服务器启用“记录连接” 此策略帮助审核环境中任何未启用 log_connections 设置的 PostgreSQL 数据库。 AuditIfNotExists、Disabled 1.0.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保 PostgreSQL 数据库服务器的服务器参数“log_disconnections”设置为“ON”

ID:CIS Microsoft Azure 基础基准建议 4.3.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
应为 PostgreSQL 数据库服务器记录断开连接 此策略帮助审核环境中任何未启用 log_disconnections 的 PostgreSQL 数据库。 AuditIfNotExists、Disabled 1.0.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保 PostgreSQL 数据库服务器的服务器参数“connection_throttling”设置为“ON”

ID:CIS Microsoft Azure 基础基准建议 4.3.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
应为 PostgreSQL 数据库服务器启用连接限制 此策略帮助审核环境中任何未启用连接限制的 PostgreSQL 数据库。 无效密码登录失败次数过多时,可以使用此设置来按 IP 限制临时连接。 AuditIfNotExists、Disabled 1.0.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保 PostgreSQL 数据库服务器的服务器参数“log_retention_days”大于 3 天

ID:CIS Microsoft Azure 基础基准建议 4.3.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
遵守定义的保持期 CMA_0004 - 遵守定义的保持期 手动、已禁用 1.1.0
治理并监视审核处理活动 CMA_0289 - 治理并监视审核处理活动 手动、已禁用 1.1.0
保留安全策略和过程 CMA_0454 - 保留安全策略和过程 手动、已禁用 1.1.0
保留终止的用户数据 CMA_0455 - 保留终止的用户数据 手动、已禁用 1.1.0

确保为 PostgreSQL 数据库服务器禁用“允许访问 Azure 服务”

ID:CIS Microsoft Azure 基础基准建议 4.3.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
控制信息流 CMA_0079 - 控制信息流 手动、已禁用 1.1.0
采用加密信息的流控制机制 CMA_0211 - 采用加密信息的流控制机制 手动、已禁用 1.1.0
建立防火墙和路由器配置标准 CMA_0272 - 建立防火墙和路由器配置标准 手动、已禁用 1.1.0
为持卡人数据环境建立网络分段 CMA_0273 - 为持卡人数据环境建立网络分段 手动、已禁用 1.1.0
标识和管理下游信息交换 CMA_0298 - 标识和管理下游信息交换 手动、已禁用 1.1.0

确保 PostgreSQL 数据库服务器的“基础结构双重加密”为“已启用”

ID:CIS Microsoft Azure 基础基准建议 4.3.8;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0

确保将标准 MySQL 数据库服务器的“强制执行 SSL 连接”设置为“已启用”

ID:CIS Microsoft Azure 基础基准建议 4.4.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
配置工作站以检查数字证书 CMA_0073 - 配置工作站以检查数字证书 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
使用加密保护密码 CMA_0408 - 使用加密保护密码 手动、已禁用 1.1.0

确保将 MySQL 灵活数据库服务器的“TLS 版本”设置为“TLSV1.2”

ID:CIS Microsoft Azure 基础基准建议 4.4.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
配置工作站以检查数字证书 CMA_0073 - 配置工作站以检查数字证书 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
使用加密保护密码 CMA_0408 - 使用加密保护密码 手动、已禁用 1.1.0

确保配置 Azure Active Directory 管理员

ID:CIS Microsoft Azure 基础基准建议 4.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应该为 SQL 服务器预配 Azure Active Directory 管理员 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 AuditIfNotExists、Disabled 1.0.0
自动执行帐户管理 CMA_0026 - 自动执行帐户管理 手动、已禁用 1.1.0
管理系统和管理员帐户 CMA_0368 - 管理系统和管理员帐户 手动、已禁用 1.1.0
监视整个组织的访问权限 CMA_0376 - 监视整个组织的访问权限 手动、已禁用 1.1.0
当不需要帐户时通知 CMA_0383 - 当不需要帐户时通知 手动、已禁用 1.1.0

确保使用客户管理的密钥对 SQL Server TDE 保护器进行加密

ID:CIS Microsoft Azure 基础基准建议 4.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0
SQL 托管实例应使用客户管理的密钥进行静态数据加密 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 Audit、Deny、Disabled 2.0.0
SQL Server 应使用客户管理的密钥进行静态数据加密 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 Audit、Deny、Disabled 2.0.1

5 日志记录和监视

确保存在“诊断设置”

ID:CIS Microsoft Azure 基础基准建议 5.1.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0

确保诊断设置捕获适当的类别

ID:CIS Microsoft Azure 基础基准建议 5.1.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
配置 Azure 审核功能 CMA_C1108 - 配置 Azure 审核功能 手动、已禁用 1.1.1
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保存储活动日志的存储容器不可公开访问

ID:CIS Microsoft Azure 基础基准建议 5.1.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:应禁止存储帐户公共访问 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 audit、Audit、deny、Deny、disabled、Disabled 3.1.0-preview
启用双重或联合授权 CMA_0226 - 启用双重或联合授权 手动、已禁用 1.1.0
保护审核信息 CMA_0401 - 保护审核信息 手动、已禁用 1.1.0

确保使用 BYOK(使用自己的密钥)对存储帐户(包含的容器具有活动日志)加密

ID:CIS Microsoft Azure 基础基准建议 5.1.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
启用双重或联合授权 CMA_0226 - 启用双重或联合授权 手动、已禁用 1.1.0
维护审核系统的完整性 CMA_C1133 - 维护审核系统的完整性 手动、已禁用 1.1.0
保护审核信息 CMA_0401 - 保护审核信息 手动、已禁用 1.1.0
必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 此策略审核是否已使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密。 仅当存储帐户在设计上依赖于与活动日志相同的订阅时,此策略才起作用。 有关 Azure 存储静态加密的详细信息,请参阅 https://aka.ms/azurestoragebyok AuditIfNotExists、Disabled 1.0.0

确保 Azure KeyVault 日志记录设置为“已启用”

ID:CIS Microsoft Azure 基础基准建议 5.1.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
应启用 Key Vault 中的资源日志 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 AuditIfNotExists、Disabled 5.0.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保存在“创建策略分配”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定策略操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定策略操作。 AuditIfNotExists、Disabled 3.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保删除策略分配具有活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定策略操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定策略操作。 AuditIfNotExists、Disabled 3.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“创建或更新网络安全组”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定管理操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定管理操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“删除网络安全组”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定管理操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定管理操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“创建或更新网络安全组”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定管理操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定管理操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“删除网络安全组规则”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定管理操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定管理操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“创建或更新安全解决方案”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定安全操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定安全操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“删除安全解决方案”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.8;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定安全操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定安全操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“创建、更新或删除 SQL Server 防火墙规则”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.9;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定管理操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定管理操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保为支持诊断日志的所有服务启用诊断日志。

ID:CIS Microsoft Azure 基础基准建议 5.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
遵守定义的保持期 CMA_0004 - 遵守定义的保持期 手动、已禁用 1.1.0
应用服务应用应已启用资源日志 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 AuditIfNotExists、Disabled 2.0.1
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
配置 Azure 审核功能 CMA_C1108 - 配置 Azure 审核功能 手动、已禁用 1.1.1
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
治理并监视审核处理活动 CMA_0289 - 治理并监视审核处理活动 手动、已禁用 1.1.0
应启用 Azure Data Lake Store 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Azure 流分析中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Batch 帐户中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 Data Lake Analytics 中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用事件中心内的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用 IoT 中心内的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 3.1.0
应启用 Key Vault 中的资源日志 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 AuditIfNotExists、Disabled 5.0.0
应启用逻辑应用中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.1.0
应启用搜索服务中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
应启用服务总线中的资源日志 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 AuditIfNotExists、Disabled 5.0.0
保留安全策略和过程 CMA_0454 - 保留安全策略和过程 手动、已禁用 1.1.0
保留终止的用户数据 CMA_0455 - 保留终止的用户数据 手动、已禁用 1.1.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

6 网络

确保任何 SQL 数据库都不允许流入量 0.0.0.0/0 (任何 IP)

ID:CIS Microsoft Azure 基础基准建议 6.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
控制信息流 CMA_0079 - 控制信息流 手动、已禁用 1.1.0
采用加密信息的流控制机制 CMA_0211 - 采用加密信息的流控制机制 手动、已禁用 1.1.0

确保网络安全组流日志保持期为“超过 90 天”

ID:CIS Microsoft Azure 基础基准建议 6.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
遵守定义的保持期 CMA_0004 - 遵守定义的保持期 手动、已禁用 1.1.0
保留安全策略和过程 CMA_0454 - 保留安全策略和过程 手动、已禁用 1.1.0
保留终止的用户数据 CMA_0455 - 保留终止的用户数据 手动、已禁用 1.1.0

确保网络观察程序设置为“已启用”

ID:CIS Microsoft Azure 基础基准建议 6.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 AuditIfNotExists、Disabled 3.0.0
验证安全性函数 CMA_C1708 - 验证安全性函数 手动、已禁用 1.1.0

7 虚拟机

确保虚拟机使用托管磁盘

ID:CIS Microsoft Azure 基础基准建议 7.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核未使用托管磁盘的 VM 此策略审核未使用托管磁盘的 VM 审核 1.0.0
控制物理访问 CMA_0081 - 控制物理访问 手动、已禁用 1.1.0
管理数据的输入、输出、处理和存储 CMA_0369 - 管理数据的输入、输出、处理和存储 手动、已禁用 1.1.0
查看标签活动和分析 CMA_0474 - 查看标签活动和分析 手动、已禁用 1.1.0

确保使用客户管理的密钥 (CMK) 对“OS 和数据”磁盘进行加密

ID:CIS Microsoft Azure 基础基准建议 7.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0

确保“未附加的磁盘”已通过 CMK 进行加密

ID:CIS Microsoft Azure 基础基准建议 7.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0

确保仅安装已批准的扩展

ID:CIS Microsoft Azure 基础基准建议 7.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应当仅安装已批准的 VM 扩展 此策略约束未获批准的虚拟机扩展。 Audit、Deny、Disabled 1.0.0

确保已应用适用于所有虚拟机的最新 OS 修补程序

ID:CIS Microsoft Azure 基础基准建议 7.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

确保已安装适用于所有虚拟机的 Endpoint Protection

ID:CIS Microsoft Azure 基础基准建议 7.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
阻止从 USB 运行不受信任和未签名的进程 CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 手动、已禁用 1.1.0
记录安全操作 CMA_0202 - 记录安全操作 手动、已禁用 1.1.0
管理网关 CMA_0363 - 管理网关 手动、已禁用 1.1.0
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
每周查看恶意软件检测报告 CMA_0475 - 每周查看恶意软件检测报告 手动、已禁用 1.1.0
每周查看威胁防护状态 CMA_0479 - 每周查看威胁防护状态 手动、已禁用 1.1.0
打开终结点安全解决方案的传感器 CMA_0514 - 打开终结点安全解决方案的传感器 手动、已禁用 1.1.0
更新防病毒定义 CMA_0517 - 更新防病毒定义 手动、已禁用 1.1.0
验证软件、固件和信息完整性 CMA_0542 - 验证软件、固件和信息完整性 手动、已禁用 1.1.0

确保 VHD 已加密

ID:CIS Microsoft Azure 基础基准建议 7.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0

8 其他安全注意事项

确保为 RBAC 密钥保管库中的所有密钥设置过期日期

ID:CIS Microsoft Azure 基础基准建议 8.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
定义物理密钥管理流程 CMA_0115 - 定义物理密钥管理流程 手动、已禁用 1.1.0
定义加密使用 CMA_0120 - 定义加密使用 手动、已禁用 1.1.0
定义加密密钥管理的组织要求 CMA_0123 - 定义加密密钥管理的组织要求 手动、已禁用 1.1.0
确定断言要求 CMA_0136 - 确定断言要求 手动、已禁用 1.1.0
颁发公钥证书 CMA_0347 - 颁发公钥证书 手动、已禁用 1.1.0
Key Vault 密钥应具有到期日期 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 Audit、Deny、Disabled 1.0.2
管理对称加密密钥 CMA_0367 - 管理对称加密密钥 手动、已禁用 1.1.0
限制对私钥的访问 CMA_0445 - 限制对私钥的访问权限 手动、已禁用 1.1.0

确保为非 RBAC 密钥保管库中的所有密钥设置过期日期。

ID:CIS Microsoft Azure 基础基准建议 8.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
定义物理密钥管理流程 CMA_0115 - 定义物理密钥管理流程 手动、已禁用 1.1.0
定义加密使用 CMA_0120 - 定义加密使用 手动、已禁用 1.1.0
定义加密密钥管理的组织要求 CMA_0123 - 定义加密密钥管理的组织要求 手动、已禁用 1.1.0
确定断言要求 CMA_0136 - 确定断言要求 手动、已禁用 1.1.0
颁发公钥证书 CMA_0347 - 颁发公钥证书 手动、已禁用 1.1.0
Key Vault 密钥应具有到期日期 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 Audit、Deny、Disabled 1.0.2
管理对称加密密钥 CMA_0367 - 管理对称加密密钥 手动、已禁用 1.1.0
限制对私钥的访问 CMA_0445 - 限制对私钥的访问权限 手动、已禁用 1.1.0

确保为 RBAC 密钥保管库中的所有机密设置过期日期

ID:CIS Microsoft Azure 基础基准建议 8.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
定义物理密钥管理流程 CMA_0115 - 定义物理密钥管理流程 手动、已禁用 1.1.0
定义加密使用 CMA_0120 - 定义加密使用 手动、已禁用 1.1.0
定义加密密钥管理的组织要求 CMA_0123 - 定义加密密钥管理的组织要求 手动、已禁用 1.1.0
确定断言要求 CMA_0136 - 确定断言要求 手动、已禁用 1.1.0
颁发公钥证书 CMA_0347 - 颁发公钥证书 手动、已禁用 1.1.0
Key Vault 机密应具有到期日期 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 Audit、Deny、Disabled 1.0.2
管理对称加密密钥 CMA_0367 - 管理对称加密密钥 手动、已禁用 1.1.0
限制对私钥的访问 CMA_0445 - 限制对私钥的访问权限 手动、已禁用 1.1.0

确保为非 RBAC 密钥保管库中的所有机密设置过期日期

ID:CIS Microsoft Azure 基础基准建议 8.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
定义物理密钥管理流程 CMA_0115 - 定义物理密钥管理流程 手动、已禁用 1.1.0
定义加密使用 CMA_0120 - 定义加密使用 手动、已禁用 1.1.0
定义加密密钥管理的组织要求 CMA_0123 - 定义加密密钥管理的组织要求 手动、已禁用 1.1.0
确定断言要求 CMA_0136 - 确定断言要求 手动、已禁用 1.1.0
颁发公钥证书 CMA_0347 - 颁发公钥证书 手动、已禁用 1.1.0
Key Vault 机密应具有到期日期 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 Audit、Deny、Disabled 1.0.2
管理对称加密密钥 CMA_0367 - 管理对称加密密钥 手动、已禁用 1.1.0
限制对私钥的访问 CMA_0445 - 限制对私钥的访问权限 手动、已禁用 1.1.0

确保为任务关键型 Azure 资源设置资源锁

ID:CIS Microsoft Azure 基础基准建议 8.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0

确保 Key Vault 可恢复

ID:CIS Microsoft Azure 基础基准建议 8.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Key Vault 应启用删除保护 恶意删除密钥保管库可能会导致永久丢失数据。 可以通过启用清除保护和软删除来防止永久数据丢失。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 请记住,在 2019 年 9 月 1 日之后创建的密钥保管库默认启用软删除。 Audit、Deny、Disabled 2.1.0
保持信息的可用性 CMA_C1644 - 保持信息的可用性 手动、已禁用 1.1.0

在 Azure Kubernetes 服务中启用基于角色的访问控制 (RBAC)

ID:CIS Microsoft Azure 基础基准建议 8.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制执行逻辑访问 CMA_0245 - 强制执行逻辑访问 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
需要批准才能创建帐户 CMA_0431 - 需要批准才能创建帐户 手动、已禁用 1.1.0
查看有权访问敏感数据的用户组和应用程序 CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 手动、已禁用 1.1.0
应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 若要对用户可以执行的操作提供粒度筛选,请使用基于角色的访问控制 (RBAC) 来管理 Kubernetes 服务群集中的权限并配置相关授权策略。 Audit、Disabled 1.0.4

9 AppService

确保已为 Azure 应用服务中的应用设置应用服务身份验证

ID:CIS Microsoft Azure 基础基准建议 9.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务应用应已启用身份验证 Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问 Web 应用,或在令牌访问 Web 应用之前对其进行身份验证。 AuditIfNotExists、Disabled 2.0.1
对加密模块进行身份验证 CMA_0021 - 对加密模块进行身份验证 手动、已禁用 1.1.0
强制执行用户唯一性 CMA_0250 - 强制执行用户唯一性 手动、已禁用 1.1.0
函数应用应启用身份验证 Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问函数应用,或在令牌访问函数应用之前对其进行身份验证。 AuditIfNotExists、Disabled 3.0.0
支持由法律机构颁发的个人验证凭据 CMA_0507 - 支持由法律机构颁发的个人验证凭据 手动、已禁用 1.1.0

确保禁用 FTP 部署

ID:CIS Microsoft Azure 基础基准建议 9.10;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务应用应仅需要 FTPS 启用“FTPS 强制实施”以增强安全性。 AuditIfNotExists、Disabled 3.0.0
配置工作站以检查数字证书 CMA_0073 - 配置工作站以检查数字证书 手动、已禁用 1.1.0
函数应用应仅需要 FTPS 启用“FTPS 强制实施”以增强安全性。 AuditIfNotExists、Disabled 3.0.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
使用加密保护密码 CMA_0408 - 使用加密保护密码 手动、已禁用 1.1.0

确保使用 Azure 密钥保管库来存储机密

ID:CIS Microsoft Azure 基础基准建议 9.11;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
定义物理密钥管理流程 CMA_0115 - 定义物理密钥管理流程 手动、已禁用 1.1.0
定义加密使用 CMA_0120 - 定义加密使用 手动、已禁用 1.1.0
定义加密密钥管理的组织要求 CMA_0123 - 定义加密密钥管理的组织要求 手动、已禁用 1.1.0
确定断言要求 CMA_0136 - 确定断言要求 手动、已禁用 1.1.0
确保加密机制由配置管理 CMA_C1199 - 确保加密机制由配置管理 手动、已禁用 1.1.0
颁发公钥证书 CMA_0347 - 颁发公钥证书 手动、已禁用 1.1.0
保持信息的可用性 CMA_C1644 - 保持信息的可用性 手动、已禁用 1.1.0
管理对称加密密钥 CMA_0367 - 管理对称加密密钥 手动、已禁用 1.1.0
限制对私钥的访问 CMA_0445 - 限制对私钥的访问权限 手动、已禁用 1.1.0

确保 Web 应用将所有 HTTP 流量重定向到 Azure 应用服务中的 HTTPS

ID:CIS Microsoft Azure 基础基准建议 9.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只应通过 HTTPS 访问应用服务应用 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 审核、已禁用、拒绝 4.0.0
配置工作站以检查数字证书 CMA_0073 - 配置工作站以检查数字证书 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
使用加密保护密码 CMA_0408 - 使用加密保护密码 手动、已禁用 1.1.0

确保 Web 应用使用最新版本的 TLS 加密

ID:CIS Microsoft Azure 基础基准建议 9.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务应用应使用最新的 TLS 版本 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 AuditIfNotExists、Disabled 2.1.0
配置工作站以检查数字证书 CMA_0073 - 配置工作站以检查数字证书 手动、已禁用 1.1.0
函数应用应使用最新 TLS 版本 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 AuditIfNotExists、Disabled 2.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
使用加密保护密码 CMA_0408 - 使用加密保护密码 手动、已禁用 1.1.0

确保 Web 应用的“客户端证书(传入客户端证书)”设置为“打开”

ID:CIS Microsoft Azure 基础基准建议 9.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[已弃用]:函数应用应启用“客户端证书(传入客户端证书)” 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 由于 Http 2.0 不支持客户端证书,此策略已替换为同名的新策略。 Audit、Disabled 3.1.0-deprecated
应用服务应用应启用“客户端证书(传入客户端证书)” 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 AuditIfNotExists、Disabled 1.0.0
对加密模块进行身份验证 CMA_0021 - 对加密模块进行身份验证 手动、已禁用 1.1.0

确保在应用服务中启用“向 Azure Active Directory 注册”

ID:CIS Microsoft Azure 基础基准建议 9.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务应用应使用托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 3.0.0
自动执行帐户管理 CMA_0026 - 自动执行帐户管理 手动、已禁用 1.1.0
函数应用应使用托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 3.0.0
管理系统和管理员帐户 CMA_0368 - 管理系统和管理员帐户 手动、已禁用 1.1.0
监视整个组织的访问权限 CMA_0376 - 监视整个组织的访问权限 手动、已禁用 1.1.0
当不需要帐户时通知 CMA_0383 - 当不需要帐户时通知 手动、已禁用 1.1.0

确保用于运行 Web 应用的“PHP 版本”是最新的

ID:CIS Microsoft Azure 基础基准建议 9.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

确保用于运行 Web 应用的“Python 版本”是最新的稳定版本

ID:CIS Microsoft Azure 基础基准建议 9.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

确保用于运行 Web 应用的“Java 版本”是最新的

ID:CIS Microsoft Azure 基础基准建议 9.8;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

确保用于运行 Web 应用的“HTTP 版本”是最新的

ID:CIS Microsoft Azure 基础基准建议 9.9;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务应用应使用最新“HTTP 版本” 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 AuditIfNotExists、Disabled 4.0.0
函数应用应使用最新“HTTP 版本” 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 AuditIfNotExists、Disabled 4.0.0
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

后续步骤

有关 Azure Policy 的其他文章: