Microsoft 雲端安全性基準法規合規性內建方案的詳細資料
下列文章詳細說明 Azure 原則法規合規性內建方案定義如何對應至 Microsoft 雲端安全性基準中的合規性領域與控制項。 如需此合規性標準的詳細資訊,請參閱 Microsoft 雲端安全性基準。 若要了解所有權,請參閱 Azure 原則原則定義與雲端中共同承擔的責任。
以下是 Microsoft 雲端安全性基準控制項的對應。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 然後,尋找並選取 Microsoft 雲端安全性基準法規合規性內建方案的定義。
重要
下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。
網路安全性
建立網路分割界限
識別碼:Microsoft 雲端安全性基準 NS-1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在網際網路對應的虛擬機器上套用自適性網路強化建議 | Azure 資訊安全中心會分析網際網路對向虛擬機器的流量模式,然後提供降低潛在攻擊面的網路安全性群組規則建議 | AuditIfNotExists, Disabled | 3.0.0 |
| 所有網路連接埠均應限制在與虛擬機器建立關聯的網路安全性群組 | Azure 資訊安全中心發現您某些網路安全性群組的輸入規則過於寬鬆。 輸入規則不應允許來自「任何」或「網際網路」範圍的存取。 這可能會讓攻擊者鎖定您的資源。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用網路安全性群組保護非網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制存取,以保護您非網際網路對應的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
使用網路控制來保護雲端服務
識別碼:Microsoft 雲端安全性基準 NS-2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:應禁止儲存體帳戶公用存取 | 以匿名的公開讀取權限來存取 Azure 儲存體中的容器和 Blob,是共用資料的便利方式,但也可能會帶來安全性風險。 為了防止不想要的匿名存取所造成的資料缺口,Microsoft 建議除非您的案例需要,否則避免公開存取儲存體帳戶。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 3.1.0-preview |
| API 管理服務應使用虛擬網路 | Azure 虛擬網路部署提供增強的安全性、隔離,並可讓您將 API 管理服務放在可控制存取權的非網際網路可路由網路中。 這些網路接著可以使用各種 VPN 技術連線到您的內部部署網路,以存取網路和/或內部部署內的後端服務。 開發人員入口網站與 API 閘道,可設定為從網際網路存取或只從虛擬網路內存取。 | Audit, Deny, Disabled | 1.0.2 |
| APIM 應停用服務設定端點的公用網路存取 | 若要改善 APIM 服務的安全性,請限制服務設定端點 (例如直接存取管理 API)、Git 設定管理端點或自我裝載閘道設定端點的連線能力。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應用程式設定應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至應用程式組態而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/appconfig/private-endpoint。 | AuditIfNotExists, Disabled | 1.0.2 |
| Kubernetes Services 上應定義授權 IP 範圍 | 僅將 API 存取權授與特定範圍內的 IP 位址,以限制對 Kubernetes Service 管理 API 的存取。 建議僅限存取授權 IP 範圍,以確保只有來自允許網路的應用程式可以存取叢集。 | Audit, Disabled | 2.0.1 |
| Azure AI 服務資源應限制網路存取 | 藉由限制網路存取,您可以確保只有允許的網路可以存取服務。 您可以藉由設定網路規則來達成此目的,因此只有來自允許網路的應用程式可以存取 Azure AI 服務。 | Audit, Deny, Disabled | 3.2.0 |
| Azure Cache for Redis 應使用私人連結 | 私人端點可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 只要將私人端點對應到您的 Azure Cache for Redis 執行個體,就能降低資料外洩的風險。 深入了解:https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link。 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Cosmos DB 帳戶應具有防火牆規則 | 應在您的 Azure Cosmos DB 帳戶上定義防火牆規則,以防止來自未經授權來源的流量。 若帳戶至少有一個已啟用虛擬網路篩選器定義之 IP 規則,系統會將其視為符合規範。 停用公用存取的帳戶也會視為符合規範。 | Audit, Deny, Disabled | 2.0.0 |
| Azure Cosmos DB 應停用公用網路存取 | 停用公用網路存取可確保 CosmosDB 帳戶不會在公用網際網路上公開,進而改善安全性。 建立私人端點可限制您 CosmosDB 帳戶的曝光。 深入了解:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation。 | Audit, Deny, Disabled | 1.0.0 |
| Azure Databricks 叢集應該停用公用 IP | 停用 Azure Databricks 工作區中叢集的公用 IP 可藉由確保叢集不會在公用網際網路上公開來改善安全性。 深入了解:https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity。 | Audit, Deny, Disabled | 1.0.1 |
| Azure Databricks 工作區應位於虛擬網路中 | Azure 虛擬網路加強了 Azure Databricks 工作區的安全性及隔離性,並提供了子網路、存取控制原則及其他功能,以便進一步限制存取。 深入了解:https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject。 | Audit, Deny, Disabled | 1.0.2 |
| Azure Databricks 工作區應停用公用網路存取 | 停用公用網路存取權可確保資源不會在公用網際網路上公開,進而改善安全性。 您可改為建立私人端點,以控制資源的曝光狀況。 深入了解:https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link。 | Audit, Deny, Disabled | 1.0.1 |
| Azure Databricks 工作區應該使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 您可以將私人端點對應至 Azure Databricks 工作區,藉此降低資料洩漏風險。 深入了解私人連結:https://aka.ms/adbpe。 | Audit, Disabled | 1.0.2 |
| Azure 事件方格網域應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 網域而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
| Azure 事件方格主題應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Event Grid 主題而非整個服務,您也會受到保護,而免於遭受資料外洩風險。 深入了解:https://aka.ms/privateendpoints。 | Audit, Disabled | 1.0.2 |
| Azure Key Vault 應該啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 (選擇性) 您可以設定特定的 IP 範圍來限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Azure Key Vault 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的金鑰保存庫,就能降低資料外洩風險。 深入了解私人連結:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
| Azure Machine Learning Compute 應位於虛擬網路中 | Azure 虛擬網路除了為 Azure Machine Learning 計算叢集與執行個體提供子網路、存取控制原則及其他可進一步限制存取的功能之外,也提供增強的安全性與隔離環境。 當計算是以虛擬網路設定時,將不會是公開定址,且只能從虛擬網路中的虛擬機器和應用程式存取。 | Audit, Disabled | 1.0.1 |
| Azure Machine Learning 工作區應停用公用網路存取 | 停用公用網路存取,確保 Machine Learning 工作區不會在公用網際網路上公開,藉此改善安全性。 您可改為建立私人端點,以控制工作區的曝光狀況。 深入了解:https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2&tabs=azure-portal。 | Audit, Deny, Disabled | 2.0.1 |
| Azure Machine Learning 工作區應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至 Azure Machine Learning 工作區,可降低資料洩漏風險。 深入了解私人連結:https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link。 | Audit, Disabled | 1.0.0 |
| Azure SignalR Service 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 Azure SignalR Service 資源而非整個服務,您可以降低資料外洩風險。 深入了解私人連結:https://aka.ms/asrs/privatelink。 | Audit, Disabled | 1.0.0 |
| Azure Spring Cloud 應使用網路插入 | Azure Spring Cloud 執行個體應該使用虛擬網路插入來實現下列目的:1. 將 Azure Spring Cloud 與網際網路隔離。 2. 讓 Azure Spring Cloud 能夠與內部部署資料中心或其他虛擬網路中 Azure 服務內的系統進行互動。 3. 讓客戶得以控制 Azure Spring Cloud 的輸入和輸出網路通訊 | 稽核、停用、拒絕 | 1.2.0 |
| Azure SQL 受控執行個體應停用公用網路存取 | 在 Azure SQL 受控執行個體上停用公用網路存取 (公用端點) 可確保只能從其虛擬網路內部或透過私人端點進行存取,從而提升安全性。 若要深入了解公用網路存取,請瀏覽 https://aka.ms/mi-public-endpoint。 | Audit, Deny, Disabled | 1.0.0 |
| 認知服務應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 透過將私人端點對應至認知服務,您可以降低資料洩漏的可能性。 深入了解私人連結:https://go.microsoft.com/fwlink/?linkid=2129800。 | Audit, Disabled | 3.0.0 |
| 不應允許不受限制的網路存取 | 根據預設,Azure 容器登錄會接受任何網路上的主機透過網際網路的連線。 為了保護登錄不受潛在威脅的影響,請只允許來自特定私人端點、公用 IP 位址或位址範圍的存取。 如果登錄沒有已設定的網路規則,則會出現在狀況不良的資源中。 在這裡深入了解 Azure Container Registry 網路規則:https://aka.ms/acr/privatelink、https://aka.ms/acr/portal/public-network 及 https://aka.ms/acr/vnet。 | Audit, Deny, Disabled | 2.0.0 |
| 容器登錄應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。藉由將私人端點對應至容器登錄而非整個服務,您也會受到保護,而免於遭受資料洩漏風險。 深入了解:https://aka.ms/acr/private-link。 | Audit, Disabled | 1.0.1 |
| CosmosDB 帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的 CosmosDB 帳戶,資料外洩風險就會降低。 深入了解私人連結:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit, Disabled | 1.0.0 |
| 應對 Azure SQL Database 啟用私人端點連線 | 私人端點連線透過啟用與 Azure SQL Database 的私人連線,可強制執行安全通訊。 | Audit, Disabled | 1.1.0 |
| MariaDB 伺服器應啟用私人端點 | 私人端點連線透過啟用與適用於 MariaDB 的 Azure 資料庫的私人連線,可強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 | AuditIfNotExists, Disabled | 1.0.2 |
| MySQL 伺服器應啟用私人端點 | 私人端點連線透過啟用與適用於 MySQL 的 Azure 資料庫的私人連線,可強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 | AuditIfNotExists, Disabled | 1.0.2 |
| PostgreSQL 伺服器應啟用私人端點 | 私人端點連線透過啟用與適用於 PostgreSQL 的 Azure 資料庫的私人連線,可強制執行安全通訊。 設定私人端點連線,僅存取來自已知網路的流量,並防止其他所有 IP 位址 (包括 Azure 內) 的存取。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
| 應為 MariaDB 伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 MariaDB 的 Azure 資料庫只能從私人端點存取,藉此改善安全性。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 2.0.0 |
| 應為 MySQL 伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 MySQL 的 Azure 資料庫只能從私人端點存取,藉此改善安全性。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 2.0.0 |
| 應為 PostgreSQL 伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 PostgreSQL 的 Azure 資料庫只能從私人端點存取,藉此改善安全性。 此設定會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 2.0.1 |
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
| 儲存體帳戶應使用虛擬網路規則來限制網路存取 | 使用虛擬網路規則作為慣用方法而非 IP 型篩選,可為您的儲存體帳戶抵禦潛在威脅。 停用 IP 型篩選可防止公用 IP 存取您的儲存體帳戶。 | Audit, Deny, Disabled | 1.0.1 |
| 儲存體帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的儲存體帳戶,資料外洩風險就會降低。 深入了解私人連結,請造訪 https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| VM 映像產生器範本應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 藉由將私人端點對應至您的 VM Image Builder 建置資源,資料外洩風險就會降低。 深入了解私人連結:https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet。 | 稽核、停用、拒絕 | 1.1.0 |
在企業網路邊緣部署防火牆
識別碼:Microsoft 雲端安全性基準 NS-3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:所有網際網路流量都應透過您部署的 Azure 防火牆路由 | Azure 資訊安全中心已識別出您的部分子網路未受新一代防火牆的保護。 使用 Azure 防火牆或支援的新一代防火牆來限制對子網路的存取,以保護子網路免於遭受潛在威脅 | AuditIfNotExists, Disabled | 3.0.0-preview |
| 應停用虛擬機器上的 IP 轉送 | 在虛擬機器的 NIC 上啟用 IP 轉送可讓機器接收傳送到其他目的地的流量。 IP 轉送是極少需要的功能 (例如,當將 VM 作為網路虛擬設備使用時),因此,這應經過網路安全性小組檢閱。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
| 應關閉虛擬機器上的管理連接埠 | 開放的遠端管理連接埠會使您的 VM 暴露在網際網路攻擊的高風險之下。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊,來取得機器的系統管理員存取權。 | AuditIfNotExists, Disabled | 3.0.0 |
部署 DDOS 保護
識別碼:Microsoft 雲端安全性基準 NS-5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該啟用 Azure DDoS 保護 | 所有虛擬網路只要其子網路屬於使用公用 IP 的應用程式閘道,就應啟用 DDoS 保護。 | AuditIfNotExists, Disabled | 3.0.1 |
部署 Web 應用程式防火牆
識別碼:Microsoft 雲端安全性基準 NS-6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Front Door 進入點應啟用 Azure Web 應用程式防火牆 | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 1.0.2 |
| 應為應用程式閘道啟用 Web 應用程式防火牆 (WAF) | 在公開的 Web 應用程式前方部署 Azure Web 應用程式防火牆 (WAF),以另外檢查傳入的流量。 Web 應用程式防火牆 (WAF) 可集中保護 Web 應用程式,使其免於遭受常見惡意探索和弱點的攻擊,例如 SQL 插入式攻擊、跨網站指令碼攻擊、本機和遠端檔案執行。 您也可以透過自訂規則,來依國家/地區、IP 位址範圍和其他 http(s) 參數限制對 Web 應用程式的存取。 | Audit, Deny, Disabled | 2.0.0 |
簡化網路安全性設定
識別碼:Microsoft 雲端安全性基準 NS-7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在網際網路對應的虛擬機器上套用自適性網路強化建議 | Azure 資訊安全中心會分析網際網路對向虛擬機器的流量模式,然後提供降低潛在攻擊面的網路安全性群組規則建議 | AuditIfNotExists, Disabled | 3.0.0 |
偵測和停用不安全的服務和通訊協定
識別碼:Microsoft 雲端安全性基準 NS-8 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
| 函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
身分識別管理
使用集中式身分識別和驗證系統
識別碼:Microsoft 雲端安全性基準 IM-1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為 PostgreSQL 伺服器佈建 Microsoft Entra 管理員 | 稽核 PostgreSQL 伺服器的 Microsoft Entra 管理員佈建,以啟用 Microsoft Entra 驗證。 Microsoft Entra 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.1 |
| 應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
| Azure AI 服務資源應停用金鑰存取權(停用本機驗證) | 建議停用金鑰存取(本機驗證),以確保安全性。 通常用於開發/測試的 Azure OpenAI Studio 需要密鑰存取,而且如果密鑰存取已停用,將無法運作。 停用之後,Microsoft Entra ID 會成為唯一的存取方法,允許維護最低許可權原則和細微的控制。 深入了解:https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Azure Machine Learning Compute 應已停用本機驗證方法 | 停用本機驗證方法,藉由確保 Machine Learning Compute 要求 Azure Active Directory 以獨佔方式識別來進行驗證,從而提高安全性。 深入了解:https://aka.ms/azure-ml-aad-policy。 | Audit, Deny, Disabled | 2.1.0 |
| Azure SQL Database 應已啟用僅限 Microsoft Entra 驗證 | 要求 Azure SQL 邏輯伺服器使用僅限 Microsoft Entra 驗證。 此原則不會阻止建立已啟用本機驗證的伺服器。 其會在建立後阻止在資源上啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate。 | Audit, Deny, Disabled | 1.0.0 |
| Azure SQL Database 應已在建立期間啟用僅限 Microsoft Entra 驗證 | 要求使用僅限 Microsoft Entra 驗證來建立 Azure SQL 邏輯伺服器。 此原則不會在建立後阻止在資源上重新啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate。 | Audit, Deny, Disabled | 1.2.0 |
| Azure SQL 受控執行個體應已啟用僅限 Microsoft Entra 驗證 | 要求 Azure SQL 受控執行個體使用僅限 Microsoft Entra 驗證。 此原則不會阻止建立已啟用本機驗證的 Azure SQL 受控執行個體。 其會在建立後阻止在資源上啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate。 | Audit, Deny, Disabled | 1.0.0 |
| Azure SQL 受控執行個體應已在建立期間啟用僅限 Microsoft Entra 驗證 | 要求使用僅限 Microsoft Entra 驗證來建立 Azure SQL 受控執行個體。 此原則不會在建立後阻止在資源上重新啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/adonlycreate。 | Audit, Deny, Disabled | 1.2.0 |
| Cosmos DB 資料庫帳戶應已停用本機驗證方法 | 停用本機驗證方法可確保 Cosmos DB 資料庫帳戶僅可透過 Azure Active Directory 識別身分來進行驗證,進而提升安全性。 深入了解:https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth。 | Audit, Deny, Disabled | 1.1.0 |
| Service Fabric 叢集應只能使用 Azure Active Directory 進行用戶端驗證 | 稽核 Service Fabric 中僅透過 Azure Active Directory 的用戶端驗證使用方式 | Audit, Deny, Disabled | 1.1.0 |
| 儲存體帳戶應防止共用金鑰存取 | Azure Active Directory (Azure AD) 進行必要條件審核,以授權儲存體帳戶的要求。 根據預設,您可以使用 Azure Active Directory 認證或使用共用金鑰授權的帳戶存取金鑰來授權要求。 在這兩種類型的授權中,Microsoft 建議使用 Azure AD,因為其可透過共用金鑰提供更優異的安全性和易用性。 | Audit, Deny, Disabled | 2.0.0 |
| Synapse 工作區應已啟用僅限 Microsoft Entra 驗證 | 要求 Synapse 工作區使用僅限 Microsoft Entra 驗證。 此原則不會阻止建立已啟用本機驗證的工作區。 其會在建立後阻止在資源上啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/Synapse。 | Audit, Deny, Disabled | 1.0.0 |
| Synapse 工作區應在工作區建立期間只使用 Microsoft Entra 身分識別進行驗證 | 要求使用僅限 Microsoft Entra 驗證來建立 Synapse 工作區。 此原則不會在建立後阻止在資源上重新啟用本機驗證。 請考慮改用「僅限 Microsoft Entra 驗證」方案來要求以上兩者。 深入了解:https://aka.ms/Synapse。 | Audit, Deny, Disabled | 1.2.0 |
| VPN 閘道針對點對站使用者應該只使用 Azure Active Directory (Azure AD) 驗證 | 停用本機驗證方法可確保 VPN 閘道只使用 Azure Active Directory 身分識別進行驗證,藉此提升安全性。 深入了解 Azure AD 驗證,請參閱https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, Disabled | 1.0.0 |
以安全且自動的方式管理應用程式身分識別
識別碼:Microsoft 雲端安全性基準 IM-3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| 函數應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 來賓設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入了解:https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
驗證伺服器和服務
識別碼:Microsoft 雲端安全性基準 IM-4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應驗證 Azure APIM 中的 API 端點 | 在 Azure APIM 內發佈的 API 端點應強制執行驗證,以協助將安全性風險降到最低。 驗證機制的實作有時會不正確或遺失。 這會讓攻擊者能夠利用實作缺陷以及存取資料。 請在此深入了解損毀的使用者驗證的 OWASP API 威脅:https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| 應驗證 APIM 對 API 後端的呼叫 | 從 API 管理到後端的呼叫應該使用某種驗證形式,無論是透過憑證或認證。 不適用於 Service Fabric 後端。 | 稽核、停用、拒絕 | 1.0.1 |
| APIM 呼叫 API 後端時,不應略過憑證指紋或名稱驗證 | 為了改善 API 安全性,APIM 應該驗證所有 API 呼叫的後端伺服器憑證。 啟用 SSL 憑證指紋和名稱驗證。 | 稽核、停用、拒絕 | 1.0.2 |
| Azure SQL Database 應執行 TLS 1.2 版或更新版本 | 將 TLS 版本設定為 1.2 或更新版本,可確保您的 Azure SQL Database 只能從使用 TLS 1.2 或更新版本的用戶端中存取,進而提高安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 | 稽核、停用、拒絕 | 2.0.0 |
使用增強式驗證控制項
識別碼:Microsoft 雲端安全性基準 IM-6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 對 Linux 電腦進行驗證需要 SSH 金鑰 | 雖然 SSH 本身提供加密連線,但搭配使用密碼與 SSH 仍會讓 VM 容易受到暴力密碼破解攻擊。 透過 SSH 向 Azure Linux 虛擬機器進行驗證的最安全選項是使用公開-私密金鑰組,也稱為 SSH 金鑰。 深入了解:https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed。 | AuditIfNotExists, Disabled | 3.2.0 |
限制認證和祕密的公開
識別碼:Microsoft 雲端安全性基準 IM-8 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| APIM 的最低 API 版本應設定為 2019-12-01 或更新版本 | 若要防止與唯讀使用者共用服務密碼,最低 API 版本應設定為 2019-12-01 或更新版本。 | Audit, Deny, Disabled | 1.0.1 |
| APIM 秘密的具名值應儲存在 Azure Key Vault 中 | 具名值是每個 APIM 服務中的「名稱-值」組集合。 祕密值可以儲存為 APIM 中的加密文字 (自訂祕密),或藉由參考 Azure Key Vault 中的祕密來儲存。 若要改善 APIM 和秘密的安全性,請從 Azure Key Vault 參考秘密的具名值。 Azure Key Vault 支援細微的存取管理和秘密輪替原則。 | 稽核、停用、拒絕 | 1.0.2 |
| 電腦上應已解決發現的祕密 | 稽核虛擬機器,以從虛擬機器上的秘密掃描解決方案偵測其是否包含發現的祕密。 | AuditIfNotExists, Disabled | 1.0.2 |
特殊權限存取
劃分和限制高度使用權限/系統管理使用者
識別碼:Microsoft 雲端安全性基準 PA-1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對您的訂用帳戶指定最多 3 位擁有者 | 建議您最多指定 3 位訂用帳戶擁有者,以降低遭入侵擁有者導致資料外洩的可能。 | AuditIfNotExists, Disabled | 3.0.0 |
| 具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應將一個以上的擁有者指派給您的訂用帳戶 | 建議指定多位訂用帳戶擁有者,如此才能設定系統管理員存取備援。 | AuditIfNotExists, Disabled | 3.0.0 |
避免帳戶和權限的常設存取權
識別碼:Microsoft 雲端安全性基準 PA-2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
定期檢閱和協調使用者存取
識別碼:Microsoft 雲端安全性基準 PA-4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的已封鎖帳戶應移除 | 具有擁有者權限的已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取和寫入權限的已封鎖帳戶應移除 | 已取代帳戶應該從您的訂用帳戶中移除。 已取代帳戶是已封鎖而無法登入的帳戶。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
遵循剛好足夠的系統管理 (最低權限) 原則
識別碼:Microsoft 雲端安全性基準 PA-7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| APIM 訂用帳戶不應將範圍設定為所有 API | APIM 訂用帳戶的範圍應設定為產品或個別 API,而不是所有 API,否則可能會導致資料過度暴露。 | 稽核、停用、拒絕 | 1.1.0 |
| 稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
| 應在 Kubernetes Service 上使用 Azure 角色型存取控制 (RBAC) | 若要提供使用者可執行之動作的精細篩選,請使用 Azure 角色型存取控制 (RBAC) 來管理 Kubernetes Service 叢集中的權限,並設定相關的授權原則。 | Audit, Disabled | 1.0.3 |
資料保護
探索、分類和標記敏感性資料
識別碼:Microsoft 雲端安全性基準 DP-1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 API 的 Microsoft Defender | 適用於 API 的 Microsoft Defender 提供新的探索、保護、偵測和回應涵蓋範圍,以監視常見的 API 型攻擊和安全性設定錯誤。 | AuditIfNotExists, Disabled | 1.0.3 |
監視以敏感性資料為目標的異常狀況和威脅
識別碼:Microsoft 雲端安全性基準 DP-2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於開放原始碼關聯式資料庫的 Azure Defender | 適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫,並可能造成損害的異常活動。 造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。 重要:啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 造訪資訊安全中心的價格頁面深入了解價格:https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 API 的 Microsoft Defender | 適用於 API 的 Microsoft Defender 提供新的探索、保護、偵測和回應涵蓋範圍,以監視常見的 API 型攻擊和安全性設定錯誤。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應該啟用適用於儲存體的 Microsoft Defender | 適用於儲存體的 Microsoft Defender 會偵測儲存體帳戶的潛在威脅。 其有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。 新的適用於儲存體的 Defender 方案包括惡意程式碼掃描和敏感性資料威脅偵測。 此方案也提供可預測的定價結構 (每一儲存體帳戶),以控制涵蓋範圍和成本。 | AuditIfNotExists, Disabled | 1.0.0 |
加密傳輸中的敏感性資料
識別碼:Microsoft 雲端安全性基準 DP-3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:應在 Azure Stack HCI 系統上保護主機和 VM 網路 | 保護 Azure Stack HCI 主機網路上的資料和虛擬機器網路連線上的資料。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| APIM API 應一律只使用加密通訊協定 | 為了確保傳輸中資料的安全性,API 應該只能透過 HTTPS 或 WSS 等加密通訊協定來使用。 請避免使用不安全的通訊協定,例如 HTTP 或 WS。 | 稽核、停用、拒絕 | 2.0.2 |
| 應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
| App Service 應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
| App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
| Azure SQL Database 應執行 TLS 1.2 版或更新版本 | 將 TLS 版本設定為 1.2 或更新版本,可確保您的 Azure SQL Database 只能從使用 TLS 1.2 或更新版本的用戶端中存取,進而提高安全性。 不建議使用低於 1.2 的 TLS 版本,因為那些版本有已知的資訊安全性弱點。 | 稽核、停用、拒絕 | 2.0.0 |
| 應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
| 應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
| 應只能透過 HTTPS 存取函數應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 5.0.0 |
| 函數應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
| 函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
| Kubernetes 叢集應只能經由 HTTPS 存取 | 使用 HTTPS 可確保驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 這個功能目前正常適合 Kubernetes 服務 (AKS),以及已啟用 Azure Arc 的 Kubernetes 的預覽版。 如需詳細資訊,請造訪 https://aka.ms/kubepolicydoc | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.1.0 |
| 只允許對您 Azure Cache for Redis 的安全連線 | 稽核只允許透過 SSL 對 Azure Cache for Redis 進行連線。 使用安全連線可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 1.0.0 |
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
| Windows 電腦應該設定為使用安全通訊協定 | 若要保護透過網際網路通訊的資訊隱私權,您的電腦應該使用最新版的業界標準密碼編譯通訊協定、傳輸層安全性 (TLS)。 TLS 會藉由加密電腦之間的連線來保護透過網路的通訊。 | AuditIfNotExists, Disabled | 4.1.1 |
預設啟用待用資料加密
識別碼:Microsoft 雲端安全性基準 DP-4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為 MySQL 伺服器佈建 Microsoft Entra 管理員 | 稽核 MySQL 伺服器的 Microsoft Entra 管理員佈建,以啟用 Microsoft Entra 驗證。 Microsoft Entra 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.1.1 |
| 應加密自動化帳戶變數 | 儲存敏感性資料時,請務必為自動化帳戶變數資產啟用加密 | Audit, Deny, Disabled | 1.1.0 |
| Azure MySQL 彈性伺服器應已啟用僅限 Microsoft Entra 驗證 | 停用本機驗證方法並僅允許 Microsoft Entra 驗證,可藉由確保 Microsoft Entra 身分識別可以獨佔存取 Azure MySQL 彈性伺服器來改善安全性。 | AuditIfNotExists, Disabled | 1.0.1 |
| Linux 虛擬機應該啟用 Azure 磁碟加密 或 EncryptionAtHost。 | 雖然虛擬機的 OS 和數據磁碟預設會使用平臺受控密鑰進行待用加密;不會加密計算與 儲存體 資源之間的資源磁碟(暫存磁碟)、數據快取和數據流。 使用 Azure 磁碟加密 或 EncryptionAtHost 來補救。 請造訪 https://aka.ms/diskencryptioncomparison 以比較加密供應專案。 此原則需要兩個必要條件才能部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 1.2.1 |
| Service Fabric 叢集應將 ClusterProtectionLevel 屬性設定為 EncryptAndSign | Service Fabric 使用主要叢集憑證,可為節點對節點的通訊提供三層保護 (None、Sign 及 EncryptAndSign)。 設定保護層級可確保所有節點對節點的訊息皆經過加密及數位簽署 | Audit, Deny, Disabled | 1.1.0 |
| 應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
| 虛擬機器和虛擬機器擴展集應啟用主機上的加密 | 使用主機上的加密可進行虛擬機器和虛擬機器擴展集資料的端對端加密。 主機上的加密可讓您對暫存磁碟和 OS/資料磁碟快取進行待用加密。 啟用主機上的加密時,暫存和暫時性 OS 磁碟會使用平台代控金鑰進行加密。 視磁碟上選取的加密類型而定,OS/資料磁碟快取會使用客戶自控金鑰或平台代控金鑰進行待用加密。 深入了解:https://aka.ms/vm-hbe。 | Audit, Deny, Disabled | 1.0.0 |
| 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| Windows 虛擬機應該啟用 Azure 磁碟加密 或 EncryptionAtHost。 | 雖然虛擬機的 OS 和數據磁碟預設會使用平臺受控密鑰進行待用加密;不會加密計算與 儲存體 資源之間的資源磁碟(暫存磁碟)、數據快取和數據流。 使用 Azure 磁碟加密 或 EncryptionAtHost 來補救。 請造訪 https://aka.ms/diskencryptioncomparison 以比較加密供應專案。 此原則需要兩個必要條件才能部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 | AuditIfNotExists, Disabled | 1.1.1 |
必要時在待用資料加密中使用客戶自控金鑰選項
識別碼:Microsoft 雲端安全性基準 DP-5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:Azure Stack HCI 系統應具有加密磁碟區 | 使用 BitLocker 來加密 Azure Stack HCI 系統上的 OS 和資料磁碟區。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| Azure Cosmos DB 帳戶應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 Azure Cosmos DB 的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/cosmosdb-cmk。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 1.1.0 |
| 應該使用客戶自控金鑰來加密 Azure Machine Learning 工作區 | 使用客戶自控金鑰來管理 Azure Machine Learning 工作區資料的待用加密。 根據預設,客戶資料會使用服務管理的金鑰進行加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/azureml-workspaces-cmk。 | Audit, Deny, Disabled | 1.0.3 |
| 認知服務帳戶應使用客戶自控金鑰來啟用資料加密 | 客戶自控金鑰通常需要符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密儲存在認知服務中的資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解客戶自控金鑰:https://go.microsoft.com/fwlink/?linkid=2121321。 | Audit, Deny, Disabled | 2.1.0 |
| 容器登錄應使用客戶自控金鑰加密 | 使用客戶自控金鑰來管理登錄內容的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 深入了解:https://aka.ms/acr/CMK。 | Audit, Deny, Disabled | 1.1.2 |
| MySQL 伺服器應使用客戶自控金鑰為待用資料加密 | 使用客戶自控金鑰來管理 MySQL 伺服器的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | AuditIfNotExists, Disabled | 1.0.4 |
| PostgreSQL 伺服器應使用客戶自控金鑰加密待用資料 | 使用客戶自控金鑰來管理 PostgreSQL 伺服器的待用加密。 根據預設,資料會使用服務管理的金鑰進行待用加密,但通常需要有客戶自控金鑰才能符合法規合規性標準。 客戶自控金鑰可讓您使用由您建立及擁有的 Azure Key Vault 金鑰來加密資料。 您對金鑰生命週期擁有完全的控制權和責任,包括輪替和管理。 | AuditIfNotExists, Disabled | 1.0.4 |
| SQL 受控執行個體應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.0 |
| SQL 伺服器應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.1 |
| 儲存體帳戶應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰,以更具彈性的方式保護您的 blob 和檔案儲存體帳戶。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Disabled | 1.0.3 |
使用安全金鑰管理程序
識別碼:Microsoft 雲端安全性基準 DP-6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| APIM 秘密的具名值應儲存在 Azure Key Vault 中 | 具名值是每個 APIM 服務中的「名稱-值」組集合。 祕密值可以儲存為 APIM 中的加密文字 (自訂祕密),或藉由參考 Azure Key Vault 中的祕密來儲存。 若要改善 APIM 和秘密的安全性,請從 Azure Key Vault 參考秘密的具名值。 Azure Key Vault 支援細微的存取管理和秘密輪替原則。 | 稽核、停用、拒絕 | 1.0.2 |
| Key Vault 金鑰應具有到期日 | 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
| Key Vault 祕密應設定到期日 | 祕密應具有已定義的到期日,而不是永久有效。 永久有效的祕密會讓潛在攻擊者有更多的時間來危害祕密。 建議的安全性做法是在祕密上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
使用安全的憑證管理程序
識別碼:Microsoft 雲端安全性基準 DP-7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 憑證應具有指定的有效期間上限 | 藉由指定憑證在金鑰保存庫中的有效期間上限,來管理組織的合規性需求。 | audit, Audit, deny, Deny, Deny, disabled, Disabled | 2.2.1 |
確定金鑰和憑證存放庫的安全性
識別碼:Microsoft 雲端安全性基準 DP-8 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 Key Vault 的 Azure Defender | 適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Key Vault 應該啟用防火牆 | 啟用金鑰保存庫防火牆,以便金鑰保存庫根據預設無法藉由任何公用 IP 進行存取。 (選擇性) 您可以設定特定的 IP 範圍來限制對這些網路的存取。 深入了解:https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Azure Key Vault 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的金鑰保存庫,就能降低資料外洩風險。 深入了解私人連結:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
| 金鑰保存庫應啟用刪除保護 | 惡意刪除金鑰保存庫可能會導致永久的資料遺失。 您可以啟用清除保護和虛刪除來防止永久遺失資料。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 請記住,在 2019 年 9 月 1 日之後建立的金鑰保存庫預設會啟用虛刪除。 | Audit, Deny, Disabled | 2.1.0 |
| 金鑰保存庫應已啟用虛刪除 | 刪除未啟用虛刪除的金鑰保存庫時,將會永久刪除儲存在金鑰保存庫中的所有秘密、金鑰和憑證。 意外刪除金鑰保存庫可能會導致永久的資料遺失。 虛刪除可讓您在可設定的保留期間內復原意外刪除的金鑰保存庫。 | Audit, Deny, Disabled | 3.0.0 |
| 應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
資產管理
僅使用核准的服務
識別碼:Microsoft 雲端安全性基準 AM-2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure APIM 平台版本應該是 stv2 | Azure APIM stv1 計算平台版本將於 2024 年 8 月 31 日淘汰,而且這些執行個體應移轉至 stv2 計算平台,以繼續獲得支援。 深入了解:https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Deny, Disabled | 1.0.0 |
| 儲存體帳戶應移轉至新的 Azure Resource Manager 資源 | 在您的儲存體帳戶使用新的 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆 | Audit, Deny, Disabled | 1.0.0 |
| 虛擬機器應遷移到新的 Azure Resource Manager 資源 | 在您的虛擬機器使用新 Azure Resource Manager 以加強安全性,除了增強存取控制 (RBAC)、改善稽核、提供以 Azure Resource Manager 為基礎的部署及治理、受控身分識別的存取、金鑰保存庫的祕密存取、以 Azure AD 為基礎的驗證,還支援標記和資源群組,讓安全性管理更加輕鬆。 | Audit, Deny, Disabled | 1.0.0 |
確保資產生命週期管理的安全性
識別碼:Microsoft 雲端安全性基準 AM-3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應停用或從 APIM 服務中移除非使用中的 API 端點 | 安全性最佳做法是,將已有 30 天未收到流量的 API 端點視為未使用,並應將其從 Azure APIM 服務中移除。 保留未使用的 API 端點可能會對組織造成安全性風險。 這些 API 可能是應該已從 Azure APIM 服務中淘汰,卻可能不小心還保持作用中狀態的 API。 這類 API 通常不會收到最新的安全性涵蓋範圍。 | AuditIfNotExists, Disabled | 1.0.1 |
僅在虛擬機器中使用核准的應用程式
識別碼:Microsoft 雲端安全性基準 AM-5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
| 必須更新自適性應用程式控制原則中的允許清單規則 | 透過 Azure 資訊安全中心的自適性應用程式控制,監視機器群組的行為變更以進行稽核。 資訊安全中心會使用機器學習服務分析在機器上執行的程序,並建議已知安全的應用程式清單。 這些清單會顯示為自適性應用程式控制原則中允許的建議應用程式。 | AuditIfNotExists, Disabled | 3.0.0 |
記錄與威脅偵測
啟用威脅偵測功能
識別碼:Microsoft 雲端安全性基準 LT-1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists, Disabled | 6.0.0-preview |
| 應啟用適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Key Vault 的 Azure Defender | 適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於開放原始碼關聯式資料庫的 Azure Defender | 適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫,並可能造成損害的異常活動。 造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。 重要:啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 造訪資訊安全中心的價格頁面深入了解價格:https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 PostgreSQL 彈性伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 PostgreSQL 彈性伺服器 | AuditIfNotExists, Disabled | 1.0.0 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Kubernetes Service 叢集應已啟用 Defender 設定檔 | 適用於容器的 Defender 提供雲端原生 Kubernetes 安全性功能,包括環境強化、工作負載保護以及執行階段防護。 您在 Azure Kubernetes Service 叢集上啟用 SecurityProfile.AzureDefender 時,代理程式會部署到您的叢集,以收集安全性事件資料。 請在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks 深入了解適用於容器的 Microsoft Defender | Audit, Disabled | 2.0.1 |
| 應啟用 Microsoft Defender CSPM | Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表,以協助識別、排定優先順序及降低風險。 除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外,還有 Defender CSPM 可供使用。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於 API 的 Microsoft Defender | 適用於 API 的 Microsoft Defender 提供新的探索、保護、偵測和回應涵蓋範圍,以監視常見的 API 型攻擊和安全性設定錯誤。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應針對未受保護的 Synapse 工作區啟用適用於 SQL 的 Microsoft Defender | 啟用適用於 SQL 的 Defender 保護 Synapse 工作區。 適用於 SQL 的 Defender 監控 Synapse SQL 以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應為已啟用 Arc 的 SQL Servers 保護 Microsoft Defender for SQL 狀態 | 適用於 SQL 的 Microsoft Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 啟用之後,保護狀態會指出資源已受到主動監視。 即使是已啟用 Defender 時,也應該在代理程式、機器、工作區和 SQL 伺服器上驗證多個組態設定,以確保主動保護。 | Audit, Disabled | 1.0.1 |
| 應該啟用適用於儲存體的 Microsoft Defender | 適用於儲存體的 Microsoft Defender 會偵測儲存體帳戶的潛在威脅。 其有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。 新的適用於儲存體的 Defender 方案包括惡意程式碼掃描和敏感性資料威脅偵測。 此方案也提供可預測的定價結構 (每一儲存體帳戶),以控制涵蓋範圍和成本。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應針對機器上的 SQL 伺服器方案啟用以 SQL 伺服器為目標的自動佈建 | 為了確保 SQL VM 和已啟用 Arc 的 SQL Server 受到保護,請確定以 SQL 為目標的 Azure 監視代理程式已設定為會自動部署。 如果您先前已設定 Microsoft Monitoring Agent 的自動佈建,因為該元件已被取代,因此必須要這麼做。 深入了解:https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
| 應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 2.0.0 |
啟用適用於身分識別與存取管理的威脅偵測
識別碼:Microsoft 雲端安全性基準 LT-2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:啟用 Azure Arc 的 Kubernetes 叢集應該已安裝適用於雲端的 Microsoft Defender 延伸模組 | 適用於 Azure Arc 的適用於雲端的 Microsoft Defender 延伸模組可為已啟用 Arc 的 Kubernetes 叢集提供威脅防護。 該延伸模組會從叢集內的所有節點收集資料,並將其傳送到雲端的 Azure Defender for Kubernetes 後端,以進一步分析。 在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc 中深入了解。 | AuditIfNotExists, Disabled | 6.0.0-preview |
| 應啟用適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Key Vault 的 Azure Defender | 適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於開放原始碼關聯式資料庫的 Azure Defender | 適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫,並可能造成損害的異常活動。 造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。 重要:啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 造訪資訊安全中心的價格頁面深入了解價格:https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 PostgreSQL 彈性伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 PostgreSQL 彈性伺服器 | AuditIfNotExists, Disabled | 1.0.0 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Kubernetes Service 叢集應已啟用 Defender 設定檔 | 適用於容器的 Defender 提供雲端原生 Kubernetes 安全性功能,包括環境強化、工作負載保護以及執行階段防護。 您在 Azure Kubernetes Service 叢集上啟用 SecurityProfile.AzureDefender 時,代理程式會部署到您的叢集,以收集安全性事件資料。 請在 https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks 深入了解適用於容器的 Microsoft Defender | Audit, Disabled | 2.0.1 |
| 應啟用 Microsoft Defender CSPM | Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表,以協助識別、排定優先順序及降低風險。 除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外,還有 Defender CSPM 可供使用。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應針對未受保護的 Synapse 工作區啟用適用於 SQL 的 Microsoft Defender | 啟用適用於 SQL 的 Defender 保護 Synapse 工作區。 適用於 SQL 的 Defender 監控 Synapse SQL 以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應為已啟用 Arc 的 SQL Servers 保護 Microsoft Defender for SQL 狀態 | 適用於 SQL 的 Microsoft Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 啟用之後,保護狀態會指出資源已受到主動監視。 即使是已啟用 Defender 時,也應該在代理程式、機器、工作區和 SQL 伺服器上驗證多個組態設定,以確保主動保護。 | Audit, Disabled | 1.0.1 |
| 應該啟用適用於儲存體的 Microsoft Defender | 適用於儲存體的 Microsoft Defender 會偵測儲存體帳戶的潛在威脅。 其有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。 新的適用於儲存體的 Defender 方案包括惡意程式碼掃描和敏感性資料威脅偵測。 此方案也提供可預測的定價結構 (每一儲存體帳戶),以控制涵蓋範圍和成本。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應針對機器上的 SQL 伺服器方案啟用以 SQL 伺服器為目標的自動佈建 | 為了確保 SQL VM 和已啟用 Arc 的 SQL Server 受到保護,請確定以 SQL 為目標的 Azure 監視代理程式已設定為會自動部署。 如果您先前已設定 Microsoft Monitoring Agent 的自動佈建,因為該元件已被取代,因此必須要這麼做。 深入了解:https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
| 應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 2.0.0 |
啟用安全性調查的記錄
識別碼:Microsoft 雲端安全性基準 LT-3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 2.0.1 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 應啟用 Azure Data Lake Store 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Azure Databricks 工作區中的資源記錄 | 資源記錄可在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應啟用 Azure Kubernetes Service 中的資源記錄 | Azure Kubernetes Service 的資源記錄有助於在調查安全性事件時重新建立活動線索。 將其啟用以確定記錄會在需要時存在 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用 Azure Machine Learning 工作區中的資源記錄 | 資源記錄可在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應啟用 Azure 串流分析中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Batch 帳戶中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Data Lake Analytics 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用事件中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 IoT 中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 3.1.0 |
| 應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Logic Apps 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.1.0 |
| 應啟用搜尋服務中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用服務匯流排中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
啟用安全性調查的網路記錄
識別碼:Microsoft 雲端安全性基準 LT-4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽版]:應在 Linux 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
| [預覽版]:應在 Windows 虛擬機器上安裝網路流量資料收集代理程式 | 資訊安全中心會使用 Microsoft Dependency Agent 從您的 Azure 虛擬機器收集網路流量資料,以啟用進階網路保護功能,例如網路地圖上的流量視覺效果、網路強化建議與特定的網路威脅。 | AuditIfNotExists, Disabled | 1.0.2-preview |
集中化安全性記錄管理與分析
識別碼:Microsoft 雲端安全性基準 LT-5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:Linux Azure Arc 機器上應安裝 Log Analytics 延伸模組 | 若未安裝 Log Analytics 延伸模組,則此原則會稽核 Linux Azure Arc 機器。 | AuditIfNotExists, Disabled | 1.0.1-preview |
| [預覽]:Windows Azure Arc 機器上應安裝 Log Analytics 延伸模組 | 若未安裝 Log Analytics 延伸模組,則此原則會稽核 Windows Azure Arc 機器。 | AuditIfNotExists, Disabled | 1.0.1-preview |
| 您的訂用帳戶上應啟用 Log Analytics 代理程式的自動化佈建 | 為了監視是否有安全性弱點及威脅,Azure 資訊安全中心會從 Azure 虛擬機器收集資料。 資料會由 Log Analytics 代理程式 (先前稱為 Microsoft Monitoring Agent (MMA)) 進行收集,收集的方式是讀取機器的各種安全性相關組態和事件記錄,並將資料複製到 Log Analytics 工作區進行分析。 建議您啟用自動佈建,以將代理程式自動部署到所有受支援的 Azure VM 和任何新建立的 VM。 | AuditIfNotExists, Disabled | 1.0.1 |
| Linux 機器應在 Azure Arc 上安裝 Log Analytics 代理程式 | 如果已啟用 Azure Arc 的 Linux 伺服器上未安裝 Log Analytics 代理程式,則機器不相容。 | AuditIfNotExists, Disabled | 1.1.0 |
| 您的虛擬機器上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 如果未安裝 Log Analytics 代理程式,以供資訊安全中心監視安全性弱點及威脅,則此原則會稽核所有 Windows/Linux 虛擬機器 (VM) | AuditIfNotExists, Disabled | 1.0.0 |
| 您的虛擬機器擴展集上應安裝 Log Analytics 代理程式,才可進行 Azure 資訊安全中心監視 | 資訊安全中心會從您的 Azure 虛擬機器 (VM) 收集資料,以監視是否有安全性弱點及威脅。 | AuditIfNotExists, Disabled | 1.0.0 |
| Windows 機器應在 Azure Arc 上安裝 Log Analytics 代理程式 | 如果已啟用 Azure Arc 的 Windows 伺服器上未安裝 Log Analytics 代理程式,則機器不相容。 | AuditIfNotExists, Disabled | 2.0.0 |
設定記錄儲存保留期
識別碼:Microsoft 雲端安全性基準 LT-6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 對儲存體帳戶目的地進行稽核的 SQL 伺服器保留期應設定為 90 天 (含) 以上 | 為了進行事件調查,建議您將 SQL Server 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。 確認您符合您正在操作區域所需的保留規則。 有時候必須如此才能符合法規標準。 | AuditIfNotExists, Disabled | 3.0.0 |
事件回應
準備 - 設定事件通知
識別碼:Microsoft 雲端安全性基準 IR-2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.1.0 |
| 應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.1.0 |
| 訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
偵測和分析 – 根據高品質警示建立事件
識別碼:Microsoft 雲端安全性基準 IR-3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Key Vault 的 Azure Defender | 適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於開放原始碼關聯式資料庫的 Azure Defender | 適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫,並可能造成損害的異常活動。 造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。 重要:啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 造訪資訊安全中心的價格頁面深入了解價格:https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 PostgreSQL 彈性伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 PostgreSQL 彈性伺服器 | AuditIfNotExists, Disabled | 1.0.0 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用 Microsoft Defender CSPM | Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表,以協助識別、排定優先順序及降低風險。 除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外,還有 Defender CSPM 可供使用。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於 API 的 Microsoft Defender | 適用於 API 的 Microsoft Defender 提供新的探索、保護、偵測和回應涵蓋範圍,以監視常見的 API 型攻擊和安全性設定錯誤。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應針對未受保護的 Synapse 工作區啟用適用於 SQL 的 Microsoft Defender | 啟用適用於 SQL 的 Defender 保護 Synapse 工作區。 適用於 SQL 的 Defender 監控 Synapse SQL 以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應為已啟用 Arc 的 SQL Servers 保護 Microsoft Defender for SQL 狀態 | 適用於 SQL 的 Microsoft Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 啟用之後,保護狀態會指出資源已受到主動監視。 即使是已啟用 Defender 時,也應該在代理程式、機器、工作區和 SQL 伺服器上驗證多個組態設定,以確保主動保護。 | Audit, Disabled | 1.0.1 |
| 應該啟用適用於儲存體的 Microsoft Defender | 適用於儲存體的 Microsoft Defender 會偵測儲存體帳戶的潛在威脅。 其有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。 新的適用於儲存體的 Defender 方案包括惡意程式碼掃描和敏感性資料威脅偵測。 此方案也提供可預測的定價結構 (每一儲存體帳戶),以控制涵蓋範圍和成本。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應針對機器上的 SQL 伺服器方案啟用以 SQL 伺服器為目標的自動佈建 | 為了確保 SQL VM 和已啟用 Arc 的 SQL Server 受到保護,請確定以 SQL 為目標的 Azure 監視代理程式已設定為會自動部署。 如果您先前已設定 Microsoft Monitoring Agent 的自動佈建,因為該元件已被取代,因此必須要這麼做。 深入了解:https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
偵測和分析 - 調查事件
識別碼:Microsoft 雲端安全性基準 IR-4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
偵測和分析 – 設定事件的優先順位
識別碼:Microsoft 雲端安全性基準 IR-5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Key Vault 的 Azure Defender | 適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於開放原始碼關聯式資料庫的 Azure Defender | 適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫,並可能造成損害的異常活動。 造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。 重要:啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 造訪資訊安全中心的價格頁面深入了解價格:https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 PostgreSQL 彈性伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 PostgreSQL 彈性伺服器 | AuditIfNotExists, Disabled | 1.0.0 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用 Microsoft Defender CSPM | Defender 雲端安全性態勢管理 (CSPM) 提供了增強的態勢功能和新的智慧型雲端安全性圖表,以協助識別、排定優先順序及降低風險。 除了適用於雲端的 Defender 中預設開啟的免費基礎安全性態勢功能之外,還有 Defender CSPM 可供使用。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應啟用適用於 API 的 Microsoft Defender | 適用於 API 的 Microsoft Defender 提供新的探索、保護、偵測和回應涵蓋範圍,以監視常見的 API 型攻擊和安全性設定錯誤。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應針對未受保護的 Synapse 工作區啟用適用於 SQL 的 Microsoft Defender | 啟用適用於 SQL 的 Defender 保護 Synapse 工作區。 適用於 SQL 的 Defender 監控 Synapse SQL 以偵測異常活動,這可指出異常且可能有害的存取或惡意探索資料庫嘗試。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應為已啟用 Arc 的 SQL Servers 保護 Microsoft Defender for SQL 狀態 | 適用於 SQL 的 Microsoft Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 啟用之後,保護狀態會指出資源已受到主動監視。 即使是已啟用 Defender 時,也應該在代理程式、機器、工作區和 SQL 伺服器上驗證多個組態設定,以確保主動保護。 | Audit, Disabled | 1.0.1 |
| 應該啟用適用於儲存體的 Microsoft Defender | 適用於儲存體的 Microsoft Defender 會偵測儲存體帳戶的潛在威脅。 其有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。 新的適用於儲存體的 Defender 方案包括惡意程式碼掃描和敏感性資料威脅偵測。 此方案也提供可預測的定價結構 (每一儲存體帳戶),以控制涵蓋範圍和成本。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應針對機器上的 SQL 伺服器方案啟用以 SQL 伺服器為目標的自動佈建 | 為了確保 SQL VM 和已啟用 Arc 的 SQL Server 受到保護,請確定以 SQL 為目標的 Azure 監視代理程式已設定為會自動部署。 如果您先前已設定 Microsoft Monitoring Agent 的自動佈建,因為該元件已被取代,因此必須要這麼做。 深入了解:https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
狀況和弱點管理
稽核和強制執行安全性設定
識別碼:Microsoft 雲端安全性基準 PV-2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [已取代]:函式應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則已由相同名稱的新原則取代,因為 HTTP 2.0 不支援用戶端憑證。 | Audit, Disabled | 3.1.0-deprecated |
| 不應啟用 APIM 直接管理端點 | Azure APIM 中的直接管理 REST API 會略過 Azure Resource Manager 角色型存取控制、授權和節流機制,進而增加服務的弱點。 | 稽核、停用、拒絕 | 1.0.2 |
| APIM 的最低 API 版本應設定為 2019-12-01 或更新版本 | 若要防止與唯讀使用者共用服務密碼,最低 API 版本應設定為 2019-12-01 或更新版本。 | Audit, Deny, Disabled | 1.0.1 |
| App Service 應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 Http 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
| App Service 應用程式應關閉遠端偵錯 | 遠端偵錯需要在 App Service 應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| App Service 應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取您的應用程式。 僅允許必要的網域與您的應用程式互動即可。 | AuditIfNotExists, Disabled | 2.0.0 |
| Azure APIM 平台版本應該是 stv2 | Azure APIM stv1 計算平台版本將於 2024 年 8 月 31 日淘汰,而且這些執行個體應移轉至 stv2 計算平台,以繼續獲得支援。 深入了解:https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Deny, Disabled | 1.0.0 |
| 已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則延伸模組 | Azure Arc 的 Azure 原則延伸模組提供大規模強制執行,並以集中式、一致的方式保護已啟用 Arc 的 Kubernetes 叢集。 深入了解:https://aka.ms/akspolicydoc。 | AuditIfNotExists, Disabled | 1.1.0 |
| 應重新建立 Azure Machine Learning 計算執行個體以取得最新的軟體更新 | 請確定 Azure Machine Learning 計算執行個體會在最新的可用作業系統上執行。 藉由使用最新的安全性修補檔來執行,可改善安全性並減少弱點。 如需詳細資訊,請瀏覽 https://aka.ms/azureml-ci-updates/。 | [parameters('effects')] | 1.0.3 |
| 您的叢集應安裝及啟用適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件 | 適用於 Kubernetes Service (AKS) 的 Azure 原則附加元件是 Gatekeeper v3 (Gatekeeper v3 是開放原則代理程式 (OPA) 的許可控制器 Webhook) 的延伸,可以統一集中的方式,大規模地對您的叢集實施及施行保護。 | Audit, Disabled | 1.0.2 |
| 函數應用程式應關閉遠端偵錯 | 遠端偵錯需要在函數應用程式上開啟輸入連接埠。 應關閉遠端偵錯。 | AuditIfNotExists, Disabled | 2.0.0 |
| 函數應用程式不應將 CORS 設定為允許每個資源存取您的應用程式 | 跨原始資源共用 (CORS) 不應允許所有網域存取函式應用程式。 請只允許必要網域與您的函式應用程式互動。 | AuditIfNotExists, Disabled | 2.0.0 |
| 容器 CPU 及記憶體資源限制不應超過 Kubernetes 叢集內指定的限制 | 強制執行容器 CPU 和記憶體資源限制,以防止 Kubernetes 叢集內的資源耗盡攻擊。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.2.0 |
| Kubernetes 叢集中的容器不得共用主機處理序識別碼或主機 IPC 命名空間 | 禁止 Kubernetes 叢集內的 Pod 容器,共用主機處理序識別碼命名空間與主機 IPC 命名空間。 這項建議是 CIS 5.2.2 和 CIS 5.2.3 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
| Kubernetes 叢集中的容器只能使用允許的 AppArmor 設定檔 | Kubernetes 叢集內的容器應該只使用允許的 AppArmor 設定檔。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.1 |
| Kubernetes 叢集中的容器只能使用允許的功能 | 限制功能以減少 Kubernetes 叢集內容器的受攻擊面。 這項建議是 CIS 5.2.8 和 CIS 5.2.9 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.0 |
| Kubernetes 叢集容器應該只使用允許的映像檔 | 使用來自受信任登錄的映像,以減少 Kubernetes 叢集暴露在未知弱點、安全性問題和惡意映像的風險。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.2.0 |
| Kubernetes 叢集中的容器應使用唯讀的根檔案系統執行 | 使用唯讀根檔案系統執行容器,以防止在執行階段發生變更,讓惡意二進位檔新增至 Kubernetes 叢集的 PATH 中。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.2.0 |
| Kubernetes 叢集中的 Pod hostPath 磁碟區只能使用允許的主機路徑 | 限制 Pod HostPath 磁碟區裝載到 Kubernetes 叢集內允許的主機路徑。 這個原則通常適合 Kubernetes 服務 (AKS),以及啟用 Azure Arc 的 Kubernetes。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.1 |
| Kubernetes 叢集中的 Pod 及容器只能使用核准的使用者與群組識別碼執行 | 控制 Pod 及容器可用來在 Kubernetes 叢集內執行的使用者、主要群組、增補群組與檔案系統群組識別碼。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.1 |
| Kubernetes 叢集中的 Pod 只能使用核准的主機網路及連接埠範圍 | 限制 Pod 存取 Kubernetes 叢集中的主機網路與允許的主機連接埠範圍。 這項建議是 CIS 5.2.4 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 6.1.0 |
| 確保服務只會接聽 Kubernetes 叢集內允許的連接埠 | 限制服務只會接聽允許的連接埠,以保護 Kubernetes 叢集的存取權。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 8.1.0 |
| 在 Kubernetes 叢集內不應允許具有特殊權限的容器 | 請勿允許在 Kubernetes 叢集內建立具有特殊權限的容器。 這項建議是 CIS 5.2.1 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 9.1.0 |
| Kubernetes 叢集應停用自動掛接 API 認證 | 停用自動掛接 API 認證,防止可能遭盜用的 Pod 資源對 Kubernetes 叢集執行 API 命令。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.1.0 |
| Kubernetes 叢集不應允許容器提升權限 | 請勿允許容器在 Kubernetes 叢集內以提升的根權限來執行。 這項建議是 CIS 5.2.5 的一部分,旨在改善 Kubernetes 環境的安全性。 這個原則通常適合已啟用 Azure Arc 的 Kubernetes 服務 (AKS) 和預覽版。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 7.1.0 |
| Kubernetes 叢集不應授與 CAP_SYS_ADMIN 安全性功能 | 若要減少容器的攻擊面,請限制 CAP_SYS_ADMIN Linux 功能。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 5.1.0 |
| Kubernetes 叢集不應使用預設命名空間 | 避免在 Kubernetes 叢集中使用預設命名空間,以防止未經授權存取 ConfigMap、Pod、祕密、服務和 ServiceAccount 資源類型。 如需詳細資訊,請參閱https://aka.ms/kubepolicydoc。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 4.1.0 |
稽核和強制執行計算資源的安全設定
識別碼:Microsoft 雲端安全性基準 PV-4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:Azure Stack HCI 伺服器應該一致地強制執行應用程式控制原則 | 至少請在所有 Azure Stack HCI 伺服器上,以強制模式套用 Microsoft WDAC 基底原則。 套用的 Windows Defender 應用程式控制 (WDAC) 原則必須在相同叢集中的所有伺服器之間保持一致。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [預覽]:Azure Stack HCI 伺服器應符合安全核心需求 | 確定所有 Azure Stack HCI 伺服器都符合安全核心需求。 若要啟用安全核心伺服器需求:1. 從 [Azure Stack HCI 叢集] 頁面,移至 [Windows Admin Center],然後選取 [連線]。 2. 移至 [安全性延伸模組],然後選取 [安全核心]。 3. 選取未啟用的任何設定,然後按一下 [啟用]。 | Audit、Disabled、AuditIfNotExists | 1.0.0-preview |
| [預覽]:應在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組 | 在受支援的 Linux 虛擬機器上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Linux 虛擬機器。 | AuditIfNotExists, Disabled | 6.0.0-preview |
| [預覽]:應在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組 | 在受支援的 Linux 虛擬機器擴展集上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Linux 虛擬機器擴展集。 | AuditIfNotExists, Disabled | 5.1.0-預覽版 |
| [預覽]:應在受支援的 Windows 虛擬機器上安裝來賓證明延伸模組 | 在受支援的虛擬機器上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Windows 虛擬機器。 | AuditIfNotExists, Disabled | 4.0.0-preview |
| [預覽]:應在受支援的 Windows 虛擬機器擴展集上安裝來賓證明延伸模組 | 在受支援的虛擬機器擴展集上安裝來賓證明延伸模組,以允許 Azure 資訊安全中心主動證明和監視開機完整性。 安裝之後,將會透過遠端證明來證明開機完整性。 此評量適用於可信啟動和機密 Windows 虛擬機器擴展集。 | AuditIfNotExists, Disabled | 3.1.0-preview |
| [預覽]:Linux 虛擬機器應該只會使用已簽署和受信任的開機元件 | 所有 OS 開機元件 (開機載入器、核心、核心驅動程式) 都必須由信任的發行者簽署。 適用於雲端的 Defender 已在一或多部 Linux 電腦上識別出不受信任的作業系統開機元件。 若要保護機器防範潛在的惡意元件,請將這些元件新增至允許清單或移除已識別的元件。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| [預覽]:應在受支援的 Windows 虛擬機器上啟用安全開機 | 在支援的 Windows 虛擬機器上啟用安全開機,以減輕對開機鏈結的惡意和未經授權變更。 啟用之後,只允許受信任的開機載入器、核心和核心驅動程式執行。 此評量適用於可信啟動和機密 Windows 虛擬機器。 | Audit, Disabled | 4.0.0-preview |
| [預覽]:應在受支援的虛擬機器上啟用 vTPM | 在受支援的虛擬機器上啟用虛擬 TPM 裝置,以輔助測量開機和需要 TPM 的其他 OS 安全性功能。 啟用之後,vTPM 即可用於證明開機完整性。 此評量僅適用於已啟用可信啟動的虛擬機器。 | Audit, Disabled | 2.0.0-preview |
| 應在您的電腦上安裝來賓設定延伸模組 | 若要確保電腦來賓內設定的安全設定,請安裝來賓設定延伸模組。 延伸模組會監視的客體內設定包括作業系統的設定、應用程式設定或目前狀態,以及環境設定。 安裝後便可使用客體內原則,例如「應啟用 Windows 惡意探索防護」。 深入了解:https://aka.ms/gcpol。 | AuditIfNotExists, Disabled | 1.0.3 |
| Linux 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.2.0 |
| 應使用系統指派的受控識別,部署虛擬機器的來賓設定延伸模組 | 來賓設定擴充功能需要系統指派的受控識別。 安裝客體設定延伸模組但是沒有系統指派受控識別時,此原則範圍內的 Azure 虛擬機器將會不符合規範。 深入了解:https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| Windows 機器應符合 Azure 計算安全性基準的需求 | 需要將必要條件部署至原則指派範圍。 如需詳細資料,請前往 https://aka.ms/gcpol 。 如果電腦未針對 Azure 計算安全性基準中的其中一項建議正確設定,則電腦不符合規範。 | AuditIfNotExists, Disabled | 2.0.0 |
執行弱點評估
識別碼:Microsoft 雲端安全性基準 PV-5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器上應啟用弱點評估解決方案 | 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
| 電腦上應已解決發現的祕密 | 稽核虛擬機器,以從虛擬機器上的秘密掃描解決方案偵測其是否包含發現的祕密。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
| 弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
快速且自動地補救弱點
識別碼:Microsoft 雲端安全性基準 PV-6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:您的機器上應該安裝系統更新 (由更新中心提供) | 您的機器缺少系統、安全性和重大更新。 軟體更新通常包含安全性漏洞的重大修補檔。 這類漏洞經常遭到惡意程式碼攻擊,因此請務必讓軟體保持更新。 若要安裝所有未安裝的修補檔並保護您的機器,請遵循補救步驟。 | AuditIfNotExists, Disabled | 1.0.0-preview |
| Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | AuditIfNotExists, Disabled | 1.0.1 |
| Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | AuditIfNotExists, Disabled | 1.0.1 |
| 機器應該設定定期檢查,以檢查是否有遺漏的系統更新 | 為了確保每隔 24 小時自動觸發遺漏系統更新的定期評量,AssessmentMode 屬性應該設定為 'AutomaticByPlatform'。 在以下位置深入了解 AssessmentMode 屬性,針對 Windows:https://aka.ms/computevm-windowspatchassessmentmode,針對 Linux:https://aka.ms/computevm-linuxpatchassessmentmode。 | Audit, Deny, Disabled | 3.7.0 |
| SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
| 機器上的 SQL Server 應已解決發現的弱點 | SQL 弱點評估會掃描您的資料庫以尋找安全性弱點,並顯示與最佳做法不符的偏差動作,例如設定錯誤、過度授權或未保護敏感性資料。 解決找到的弱點可以大幅改進資料庫的安全性態勢。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應在虛擬機器擴展集上安裝系統更新 | 稽核是否遺漏了任何應安裝的系統安全性更新和重大更新,以確保您的 Windows 及 Linux 虛擬機器擴展集安全無虞。 | AuditIfNotExists, Disabled | 3.0.0 |
| 您應在機器上安裝系統更新 | Azure 資訊安全中心會依建議監視伺服器上缺少的安全性系統更新 | AuditIfNotExists, Disabled | 4.0.0 |
| 應補救容器安全性設定中的弱點 | 在已安裝 Docker 且在 Azure 資訊安全中心顯示為建議的電腦上,稽核安全性設定中的弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
| 您應在機器上修復安全性組態的弱點 | Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
| 應修復虛擬機器擴展集上安全性組態的弱點 | 稽核虛擬機器擴展集上的 OS 弱點,以免其遭受攻擊。 | AuditIfNotExists, Disabled | 3.0.0 |
端點安全性
使用端點偵測及回應 (EDR)
識別碼:Microsoft 雲端安全性基準 ES-1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
使用新式反惡意程式碼軟體
識別碼:Microsoft 雲端安全性基準 ES-2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應解決您機器上端點保護健康情況的問題 | 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists, Disabled | 1.0.0 |
| 您的機器上應安裝端點保護 | 若要保護您的機器免於威脅和弱點的侵害,請安裝支援的端點保護解決方案。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應在虛擬機器擴展集上安裝端點保護解決方案 | 稽核虛擬機器擴展集上端點保護解決方案的存在與健康狀態,以免其遭受威脅及弱點的傷害。 | AuditIfNotExists, Disabled | 3.0.0 |
| 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection | Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器 | AuditIfNotExists, Disabled | 3.0.0 |
| 應在您的機器上啟用 Windows Defender 惡意探索防護 | Windows Defender 惡意探索防護會使用 Azure 原則客體設定代理程式。 「惡意探索防護」有四個元件,設計用來鎖定裝置,使其免於遭受惡意程式碼攻擊的各種攻擊和封鎖行為,同時讓企業能夠平衡本身的安全性風險和生產力需求 (僅限 Windows)。 | AuditIfNotExists, Disabled | 2.0.0 |
確保更新反惡意程式碼軟體和簽章
識別碼:Microsoft 雲端安全性基準 ES-3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應解決您機器上端點保護健康情況的問題 | 解決虛擬機器上的端點保護健康情況問題,以保護其免於遭受最新威脅和弱點的損害。 Azure 資訊安全中心支援的端點保護解決方案記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions。 端點保護評量記載於此處 - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection。 | AuditIfNotExists, Disabled | 1.0.0 |
備份和復原
確保會定期自動備份
識別碼:Microsoft 雲端安全性基準 BR-1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份 | 適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份 | 適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
保護備份和復原資料
識別碼:Microsoft 雲端安全性基準 BR-2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該為虛擬機器啟用 Azure 備份 | 藉由啟用 Azure 備份,確保您的 Azure 虛擬機器受到保護。 Azure 備份是適用於 Azure 安全且符合成本效益的資料保護解決方案。 | AuditIfNotExists, Disabled | 3.0.0 |
| 應為適用於 MariaDB 的 Azure 資料庫啟用異地備援備份 | 適用於 MariaDB 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 MySQL 的 Azure 資料庫啟用異地備援備份 | 適用於 MySQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
| 應為適用於 PostgreSQL 的 Azure 資料庫啟用異地備援備份 | 適用於 PostgreSQL 的 Azure 資料庫可讓您為資料庫伺服器選擇備援選項。 可以設定為異地備援備份儲存體,其中的資料不只會儲存在裝載您伺服器的區域內,也會複寫至配對的區域,以在發生區域失敗時提供復原選項。 您只可在伺服器建立期間,為備份設定異地備援儲存體。 | Audit, Disabled | 1.0.1 |
DevOps 安全性
在整個 DevOps 生命週期強制執行工作負載安全性
識別碼:Microsoft 雲端安全性基準 DS-6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 登錄容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 解決弱點可大幅改善您的安全性態勢,確保映像可安全使用再進行部署。 | AuditIfNotExists, Disabled | 1.0.1 |
| Azure 執行中的容器映像應已解決弱點 (由 Microsoft Defender 弱點管理提供支援) | 容器映像弱點評量會掃描登錄中的常見已知弱點 (CVE),並提供每個映像的詳細弱點報告。 此建議可讓您看見目前在 Kubernetes 叢集中執行的易受攻擊映像。 補救目前正在執行的容器映像中的弱點是改善安全性態勢的關鍵,可大幅降低容器化工作負載的受攻擊面。 | AuditIfNotExists, Disabled | 1.0.1 |
| 應補救容器安全性設定中的弱點 | 在已安裝 Docker 且在 Azure 資訊安全中心顯示為建議的電腦上,稽核安全性設定中的弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
下一步
有關 Azure 原則的其他文章:
- 法規合規性概觀。
- 請參閱方案定義結構。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。