CIS Microsoft Azure Foundations Benchmark 2.0.0 法規遵循內建計畫的詳細資料
下列文章詳細說明 Azure 原則法規遵循內建方案定義如何對應至 CIS Microsoft Azure Foundations Benchmark 2.0.0 中的合規性網域和控制項。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure Foundations Benchmark 2.0.0。 若要了解所有權,請檢閱原則類型與雲端中共同承擔的責任。
下列是 CIS Microsoft Azure Foundations Benchmark 2.0.0 控制項的對應。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 然後,尋找並選取 CIS Microsoft Azure Foundations Benchmark 2.0.0 法規合規性內建計畫的定義。
重要
下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。
1.1
請確認 Azure Active Directory 上已啟用安全性預設值
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.1.1 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
驗證密碼編譯模組 | CMA_0021 - 驗證密碼編譯模組 | 手動、已停用 | 1.1.0 |
授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
滿足權杖品質需求 | CMA_0487 - 滿足權杖品質需求 | 手動、已停用 | 1.1.0 |
確定所有具特殊權限的使用者的 [多重要素驗證狀態] 皆為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.1.2 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
確定所有不具特殊權限的使用者的 [多重要素驗證狀態] 皆為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.1.3 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
具有 Azure 資源讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
確定 [允許使用者在信任的裝置上記住多重要素驗證] 為 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.1.4 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
滿足權杖品質需求 | CMA_0487 - 滿足權杖品質需求 | 手動、已停用 | 1.1.0 |
1
確定將「是否要在其他系統管理員重設他們的密碼時,通知所有的系統管理員?」 設定為「是」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.10 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
確定 User consent for applications
設為 Do not allow user consent
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.11 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
確定 [使用者可以將資源庫應用程式新增至我的應用程式] 設為 [否]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.13 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
確定將 [使用者可以註冊應用程式] 設定為 [否]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.14 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
確定 [來賓使用者存取限制] 設為 [來賓使用者僅限存取自己目錄物件的屬性和成員資格]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.15 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
確定 [來賓邀請限制] 設為 [只有獲指派特定系統管理員角色的使用者可以邀請來賓使用者]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.16 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
確定將 [限制存取 Azure AD 管理入口網站] 設定為 [是]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.17 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
確定 [在存取窗格中限制使用者存取群組功能的能力] 設為 [是]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.18 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
確定 [使用者可以在 Azure 入口網站、API 或 PowerShell 中建立安全性群組] 設為 [否]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.19 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
請確認將「擁有者可在存取面板管理群組成員資格要求」設為「否」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.20 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
確定 [使用者可以在 Azure 入口網站、API 或 PowerShell 中建立 Microsoft 365 群組] 設為 [否]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.21 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
確定 [需要多重要素驗證才能向 Azure AD 註冊或加入裝置] 設為 [是]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.22 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
滿足權杖品質需求 | CMA_0487 - 滿足權杖品質需求 | 手動、已停用 | 1.1.0 |
確定沒有自訂訂用帳戶管理員角色存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.23 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
稽核自訂 RBAC 角色的使用方式 | 稽核內建角色,例如「擁有者、參與者、讀取者」,而不是自訂的 RBAC 角色,這些角色容易發生錯誤。 使用自訂角色會視為例外狀況,而且需要嚴格審查和威脅模型化 | Audit, Disabled | 1.0.1 |
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
確定已為自訂角色指派管理資源鎖定的權限
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.24 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
確定來賓使用者定期受到檢閱
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.5 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源讀取權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
視需要重新指派或移除使用者權限 | CMA_C1040 - 根據需要重新指派或移除使用者權限 | 手動、已停用 | 1.1.0 |
檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
檢閱使用者權限 | CMA_C1039 - 檢閱使用者權限 | 手動、已停用 | 1.1.0 |
確認未將「要求使用者重新確認其驗證資訊之前所等候的天數」設定為「0」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.8 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
請確認將「密碼重設時通知使用者嗎?」 設定為「是」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.9 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
10
確定已設定任務關鍵性 Azure 資源的資源鎖定
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 10.1 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
2.1
確定 [適用於伺服器的 Microsoft Defender] 設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.1 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
偵測未獲授權或核准的網路服務 | CMA_C1700 - 偵測尚未獲得授權或核准的網路服務 | 手動、已停用 | 1.1.0 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
確定 [適用於 Key Vault 的 Microsoft Defender] 設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.10 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應啟用適用於 Key Vault 的 Azure Defender | 適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 | AuditIfNotExists, Disabled | 1.0.3 |
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
偵測未獲授權或核准的網路服務 | CMA_C1700 - 偵測尚未獲得授權或核准的網路服務 | 手動、已停用 | 1.1.0 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
確定 [適用於 DNS 的 Microsoft Defender] 設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.11 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[已取代]:應啟用適用於 DNS 的 Azure Defender | 此原則定義已不再是達成其意圖的建議方式,因為 DNS 套件組合已被取代。 建議您使用識別碼為 4da35fc9-c9e7-4960-aec9-797fe7d9051d 的原則來指派此取代原則,而不是繼續使用此原則。 在 aka.ms/policydefdeprecation 深入了解原則定義取代 | AuditIfNotExists, Disabled | 1.1.0-已取代 |
確定 [適用於 Resource Manager 的 Microsoft Defender] 設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.12 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應啟用適用於 Resource Manager 的 Azure Defender | 適用於 Resource Manager 的 Azure Defender 會自動監視組織中的資源管理作業。 Azure Defender 會偵測威脅,並警示您可疑的活動。 造訪 https://aka.ms/defender-for-resource-manager 深入了解 Azure Defender for Resource Manager 的功能。 啟用此 Azure Defender 方案會產生費用。 在資訊安全中心的價格頁面上深入了解各區域的價格詳細資料:https://aka.ms/pricing-security-center。 | AuditIfNotExists, Disabled | 1.0.0 |
確定 [套用系統更新] 狀態為 [已完成] 的 Microsoft Defender 建議
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.13 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
機器應該設定定期檢查,以檢查是否有遺漏的系統更新 | 為了確保每隔 24 小時自動觸發遺漏系統更新的定期評量,AssessmentMode 屬性應該設定為 'AutomaticByPlatform'。 在以下位置深入了解 AssessmentMode 屬性,針對 Windows:https://aka.ms/computevm-windowspatchassessmentmode,針對 Linux:https://aka.ms/computevm-linuxpatchassessmentmode。 | Audit, Deny, Disabled | 3.7.0 |
確定沒有任何 ASC 預設原則設定設為 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.14 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
為不相容的裝置設定動作 | CMA_0062 - 為不相容的裝置設定動作 | 手動、已停用 | 1.1.0 |
開發並維護基準設定 | CMA_0153 - 開發並維護基準設定 | 手動、已停用 | 1.1.0 |
強制執行安全性組態設定 | CMA_0249 - 強制執行安全性組態設定 | 手動、已停用 | 1.1.0 |
建立組態控制委員會 | CMA_0254 - 建立組態控制委員會 | 手動、已停用 | 1.1.0 |
建立並記錄組態管理方案 | CMA_0264 - 建立並記錄組態管理方案 | 手動、已停用 | 1.1.0 |
實作自動化組態管理工具 | CMA_0311 - 實作自動化組態管理工具 | 手動、已停用 | 1.1.0 |
確定 [Azure VM 的 Log Analytics 代理程式] 的自動佈建設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.15 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
記錄安全性作業 | CMA_0202 - 記錄安全性作業 | 手動、已停用 | 1.1.0 |
開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
確定 [適用於容器的 Microsoft Defender 元件] 的自動佈建設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.17 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
偵測未獲授權或核准的網路服務 | CMA_C1700 - 偵測尚未獲得授權或核准的網路服務 | 手動、已停用 | 1.1.0 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
確保認已使用安全性連絡人電子郵件設定「其他電子郵件地址」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.19 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
確定 [適用於應用程式服務的 Microsoft Defender] 設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.2 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應啟用適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | AuditIfNotExists, Disabled | 1.0.3 |
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
偵測未獲授權或核准的網路服務 | CMA_C1700 - 偵測尚未獲得授權或核准的網路服務 | 手動、已停用 | 1.1.0 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
確保 [通報下列嚴重程度的警示] 設定為 [高]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.20 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.2.0 |
確定已選取 [適用於雲端的 Microsoft Defender 應用程式與適用於雲端的 Microsoft Defender 的整合]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.21 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
偵測未獲授權或核准的網路服務 | CMA_C1700 - 偵測尚未獲得授權或核准的網路服務 | 手動、已停用 | 1.1.0 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
確定已選取適用於端點的 Microsoft Defender 與適用於雲端的 Microsoft Defender 的整合
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.22 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
偵測未獲授權或核准的網路服務 | CMA_C1700 - 偵測尚未獲得授權或核准的網路服務 | 手動、已停用 | 1.1.0 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
確定 [適用於資料庫的 Microsoft Defender] 設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.3 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
應啟用適用於開放原始碼關聯式資料庫的 Azure Defender | 適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫,並可能造成損害的異常活動。 造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。 重要:啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 造訪資訊安全中心的價格頁面深入了解價格:https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
應啟用適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
應啟用適用於 Azure Cosmos DB 的 Microsoft Defender | 適用於 Azure Cosmos DB 的 Microsoft Defender 是一種 Azure 原生安全性層級,可偵測嘗試對 Azure Cosmos DB 帳戶中資料庫的惡意探索。 適用於 Azure Cosmos DB 的 Defender 會根據 Microsoft 威脅情報、可疑存取模式,以及透過遭入侵身分識別或惡意測試人員,偵測潛在的 SQL 插入、已知的不良執行者。 | AuditIfNotExists, Disabled | 1.0.0 |
確定 [適用於 Azure SQL 資料庫的 Microsoft Defender] 設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.4 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
偵測未獲授權或核准的網路服務 | CMA_C1700 - 偵測尚未獲得授權或核准的網路服務 | 手動、已停用 | 1.1.0 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
確定機器上適用於 SQL 伺服器的 Microsoft Defender 設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.5 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應啟用適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
偵測未獲授權或核准的網路服務 | CMA_C1700 - 偵測尚未獲得授權或核准的網路服務 | 手動、已停用 | 1.1.0 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
確定 [適用於開放原始碼關聯式資料庫的 Microsoft Defender] 設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.6 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應啟用適用於開放原始碼關聯式資料庫的 Azure Defender | 適用於開放原始碼關聯式資料庫的 Azure Defender 會偵測意圖存取或惡意探索資料庫,並可能造成損害的異常活動。 造訪 https://aka.ms/AzDforOpenSourceDBsDocu 深入了解 Azure Defender 針對開放原始碼關聯式資料庫提供的功能。 重要:啟用此方案保護您的開放原始碼關係資料庫將會產生費用。 造訪資訊安全中心的價格頁面深入了解價格:https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
確定 [適用於儲存體的 Microsoft Defender] 設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.7 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
偵測未獲授權或核准的網路服務 | CMA_C1700 - 偵測尚未獲得授權或核准的網路服務 | 手動、已停用 | 1.1.0 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
應啟用適用於儲存體的 Microsoft Defender | 適用於儲存體的 Microsoft Defender 會偵測儲存體帳戶的潛在威脅。 這有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。 新的適用於儲存體的 Defender 方案包括惡意程式碼掃描和敏感性資料威脅偵測。 此方案也提供可預測的價格結構 (每一儲存體帳戶),以控制涵蓋範圍和成本。 | AuditIfNotExists, Disabled | 1.0.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
確定 [適用於容器的 Microsoft Defender] 設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.8 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
偵測未獲授權或核准的網路服務 | CMA_C1700 - 偵測尚未獲得授權或核准的網路服務 | 手動、已停用 | 1.1.0 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
確定 [適用於 Azure Cosmos DB 的 Microsoft Defender] 設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1.9 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應啟用適用於 Azure Cosmos DB 的 Microsoft Defender | 適用於 Azure Cosmos DB 的 Microsoft Defender 是一種 Azure 原生安全性層級,可偵測嘗試對 Azure Cosmos DB 帳戶中資料庫的惡意探索。 適用於 Azure Cosmos DB 的 Defender 會根據 Microsoft 威脅情報、可疑存取模式,以及透過遭入侵身分識別或惡意測試人員,偵測潛在的 SQL 插入、已知的不良執行者。 | AuditIfNotExists, Disabled | 1.0.0 |
3
確定 [需要安全傳輸] 設定為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.1 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
確定私人端點用來存取儲存體帳戶
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.10 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
儲存體帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的儲存體帳戶,資料外洩風險就會降低。 深入了解私人連結,請造訪 https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
確定儲存體中的重要資料是使用客戶自控金鑰進行加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.12 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
儲存體帳戶應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰,以更具彈性的方式保護您的 blob 和檔案儲存體帳戶。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Disabled | 1.0.3 |
確定已啟用 Blob 服務的儲存體記錄以供 [讀取]、[寫入] 和 [刪除] 要求
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.13 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
設定 Azure 稽核功能 | CMA_C1108 - 設定 Azure 稽核功能 | 手動、已停用 | 1.1.1 |
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定已啟用表格服務的儲存體記錄以供 [讀取]、[寫入] 和 [刪除] 要求
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.14 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
設定 Azure 稽核功能 | CMA_C1108 - 設定 Azure 稽核功能 | 手動、已停用 | 1.1.1 |
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定儲存體帳戶的 [最低 TLS 版本] 設為 [1.2 版]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.15 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
儲存體帳戶應具有指定的最低 TLS 版本 | 設定最低 TLS 版本以建立用戶端應用程式與儲存體帳戶之間的安全通訊。 為了將安全性風險最小化,建議最低 TLS 版本為最新版本,目前是 TLS 1.2。 | Audit, Deny, Disabled | 1.0.0 |
確定 Azure 儲存體中每個儲存體帳戶的 [啟用基礎結構加密] 設定為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.2 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
儲存體帳戶應具有基礎結構加密 | 啟用基礎結構加密,以取得資料安全的更高層級保證。 啟用基礎結構加密時,儲存體帳戶中的資料會加密兩次。 | Audit, Deny, Disabled | 1.0.0 |
確定定期重新產生儲存體帳戶的存取金鑰
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.4 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
定義密碼編譯金鑰管理的組織需求 | CMA_0123 - 定義密碼編譯金鑰管理的組織需求 | 手動、已停用 | 1.1.0 |
決定判斷提示需求 | CMA_0136 - 決定判斷提示需求 | 手動、已停用 | 1.1.0 |
發行公開金鑰憑證 | CMA_0347 - 發行公開金鑰憑證 | 手動、已停用 | 1.1.0 |
管理對稱式密碼編譯金鑰 | CMA_0367 - 管理對稱式密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
限制私密金鑰的存取 | CMA_0445 - 限制私密金鑰的存取 | 手動、已停用 | 1.1.0 |
確定已啟用佇列服務的儲存體記錄以供 [讀取]、[寫入] 和 [刪除] 要求
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.5 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
設定 Azure 稽核功能 | CMA_C1108 - 設定 Azure 稽核功能 | 手動、已停用 | 1.1.1 |
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定共用存取簽章權杖在一小時內到期
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.6 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
自動終止使用者工作階段 | CMA_C1054 - 自動終止使用者工作階段 | 手動、已停用 | 1.1.0 |
確定已為具有 Blob 容器的儲存體帳戶停用 [公用存取層級]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.7 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:應禁止儲存體帳戶公用存取 | 以匿名的公開讀取權限來存取 Azure 儲存體中的容器和 Blob,是共用資料的便利方式,但也可能會帶來安全性風險。 為了防止不想要的匿名存取所造成的資料缺口,Microsoft 建議除非您的案例需要,否則避免公開存取儲存體帳戶。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 3.1.0-preview |
授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
確定儲存體帳戶的 [預設網路存取規則] 設定為 [拒絕]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.8 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
儲存體帳戶應使用虛擬網路規則來限制網路存取 | 使用虛擬網路規則作為慣用方法而非 IP 型篩選,可為您的儲存體帳戶抵禦潛在威脅。 停用 IP 型篩選可防止公用 IP 存取您的儲存體帳戶。 | Audit, Deny, Disabled | 1.0.1 |
確定已為儲存體帳戶存取啟用 [允許受信任服務清單上的 Azure 服務存取此儲存體帳戶]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.9 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
儲存體帳戶應允許來自信任 Microsoft 服務的存取 | 有些與儲存體帳戶互動的 Microsoft 服務是從無法透過網路規則授與存取權的網路運作。 若要讓這類服務如預期方式運作,請允許受信任的 Microsoft 服務集合略過網路規則。 這些服務會使用增強式驗證存取儲存體帳戶。 | Audit, Deny, Disabled | 1.0.0 |
4.1
確定 [稽核] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.1.1 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定沒有 Azure SQL 資料庫允許來自 0.0.0.0/0 (任何 IP) 的輸入
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.1.2 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
應對 Azure SQL Database 停用公用網路存取 | 停用公用網路存取屬性可確保您的 Azure SQL Database 只能從私人端點存取,藉此改善安全性。 此設定會拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 1.1.0 |
確定 SQL 伺服器的透明資料加密 (TDE) 保護裝置已使用客戶自控金鑰進行加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.1.3 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
SQL 受控執行個體應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.0 |
SQL 伺服器應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.1 |
確定已為 SQL 伺服器設定 Azure Active Directory 管理員
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.1.4 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
確定 SQL Database 上的 [資料加密] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.1.5 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
確定 [稽核] 保留期「大於 90 天」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.1.6 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
控管並監視稽核處理活動 | CMA_0289 - 控管並監視稽核處理活動 | 手動、已停用 | 1.1.0 |
保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
對儲存體帳戶目的地進行稽核的 SQL 伺服器保留期應設定為 90 天 (含) 以上 | 為了進行事件調查,建議您將 SQL Server 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。 確認您符合您正在操作區域所需的保留規則。 有時候必須如此才能符合法規標準。 | AuditIfNotExists, Disabled | 3.0.0 |
4.2
確定重要 SQL 伺服器的 [適用於 SQL 的 Microsoft Defender] 設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.2.1 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
設定儲存體帳戶,確保 SQL Server 上已啟用弱點評估 (VA)
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.2.2 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
確定每個 SQL 伺服器的弱點評量 (VA) 設定 [定期週期性掃描] 都設為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.2.3 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
確定已為 SQL 伺服器設定了弱點評量 (VA) 設定 [將掃描報告傳送給]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.2.4 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
相互關聯弱點掃描資訊 | CMA_C1558 - 相互關聯弱點掃描資訊 | 手動、已停用 | 1.1.1 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
確定已為每個 SQL Server 設定了弱點評量 (VA) 設定 [同時傳送電子郵件通知給管理員及訂用帳戶擁有者]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.2.5 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
相互關聯弱點掃描資訊 | CMA_C1558 - 相互關聯弱點掃描資訊 | 手動、已停用 | 1.1.1 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
SQL 資料庫應已解決發現的弱點 | 監視弱點評量掃描結果及如何補救資料庫弱點的建議。 | AuditIfNotExists, Disabled | 4.1.0 |
弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評量的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
4.3
確定會為 PostgreSQL 資料庫伺服器將 [強制執行 SSL 連線] 設定為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.3.1 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
確定會為 PostgreSQL 資料庫伺服器將 [log_checkpoints] 伺服器參數設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.3.2 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
應為 PostgreSQL 資料庫伺服器啟用記錄檢查點 | 此原則可協助稽核您環境中任何未啟用 log_checkpoints 設定的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定會為 PostgreSQL 資料庫伺服器將 [log_connections] 伺服器參數設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.3.3 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
應為 PostgreSQL 資料庫伺服器啟用記錄連線 | 此原則可協助稽核您環境中任何未啟用 log_connections 設定的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定會為 PostgreSQL 資料庫伺服器將 [log_disconnections] 伺服器參數設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.3.4 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
應為 PostgreSQL 資料庫伺服器記錄中斷連線。 | 此原則可協助稽核您環境中任何未啟用 log_disconnections 的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定會為 PostgreSQL 資料庫伺服器將 [connection_throttling] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.3.5 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
應為 PostgreSQL 資料庫伺服器啟用連線節流 | 此原則可協助稽核您環境中任何未啟用連線節流的 PostgreSQL 資料庫。 此設定可針對每個發生太多無效密碼登入失敗的 IP 啟用暫時連線節流。 | AuditIfNotExists, Disabled | 1.0.0 |
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定 PostgreSQL 資料庫伺服器的伺服器參數 'log_retention_days' 大於3天
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.3.6 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
控管並監視稽核處理活動 | CMA_0289 - 控管並監視稽核處理活動 | 手動、已停用 | 1.1.0 |
保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
確保已停用 PostgreSQL 資料庫伺服器的「允許存取 Azure 服務」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.3.7 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
應為 PostgreSQL 彈性伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 PostgreSQL 的 Azure 資料庫彈性伺服器只能從私人端點存取,藉此改善安全性。 此設定會嚴格停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 型防火牆規則的登入。 | Audit, Deny, Disabled | 3.1.0 |
應為 PostgreSQL 伺服器停用公用網路存取 | 停用公用網路存取屬性可確保適用於 PostgreSQL 的 Azure 資料庫只能從私人端點存取,藉此改善安全性。 此設定會停用從 Azure IP 範圍外任何公用位址空間進行的存取,並拒絕所有符合 IP 或虛擬網路型防火牆規則的登入。 | Audit, Deny, Disabled | 2.0.1 |
確定 PostgreSQL 資料庫伺服器的 [基礎結構雙重加密] 為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.3.8 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
應為適用於 PostgreSQL 的 Azure 資料庫伺服器啟用基礎結構加密 | 為適用於 PostgreSQL 的 Azure 資料庫伺服器啟用基礎結構加密,讓資料有更高層級的安全保證。 啟用基礎結構加密時,待用資料會使用與 FIPS 140-2 相容的 Microsoft 管理金鑰進行兩次加密 | Audit, Deny, Disabled | 1.0.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
4.4
確定標準 MySQL 資料庫伺服器的 [強制執行 SSL 連線] 設爲 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.4.1 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
確定 MySQL 彈性資料庫伺服器的 [TLS 版本] 設為 [TLSV1.2]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.4.2 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
4.5
確定「防火牆和網路」僅限於使用選取的網路,而不是所有網路
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.5.1 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Cosmos DB 帳戶應具有防火牆規則 | 應在您的 Azure Cosmos DB 帳戶上定義防火牆規則,以防止來自未經授權來源的流量。 若帳戶至少有一個已啟用虛擬網路篩選器定義之 IP 規則,系統會將其視為符合規範。 停用公用存取的帳戶也會視為符合規範。 | Audit, Deny, Disabled | 2.1.0 |
確定盡可能使用私人端點
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.5.2 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
CosmosDB 帳戶應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要來源或目的地上的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的 CosmosDB 帳戶,資料外洩風險就會降低。 深入了解私人連結:https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints。 | Audit, Disabled | 1.0.0 |
盡可能使用 Azure Active Directory (AAD) 用戶端驗證和 Azure RBAC。
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.5.3 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Cosmos DB 資料庫帳戶應已停用本機驗證方法 | 停用本機驗證方法可確保 Cosmos DB 資料庫帳戶僅可透過 Azure Active Directory 識別身分來進行驗證,進而提升安全性。 深入了解:https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth。 | Audit, Deny, Disabled | 1.1.0 |
5.1
確定有「診斷設定」存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.1 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
請確認診斷設定可擷取適當的類別
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.2 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
設定 Azure 稽核功能 | CMA_C1108 - 設定 Azure 稽核功能 | 手動、已停用 | 1.1.1 |
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定儲存活動記錄的儲存體容器非公開存取
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.3 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[預覽]:應禁止儲存體帳戶公用存取 | 以匿名的公開讀取權限來存取 Azure 儲存體中的容器和 Blob,是共用資料的便利方式,但也可能會帶來安全性風險。 為了防止不想要的匿名存取所造成的資料缺口,Microsoft 建議除非您的案例需要,否則避免公開存取儲存體帳戶。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 3.1.0-preview |
啟用雙重或聯合授權 | CMA_0226 - 啟用雙重或聯合授權 | 手動、已停用 | 1.1.0 |
保護稽核資訊 | CMA_0401 - 保護稽核資訊 | 手動、已停用 | 1.1.0 |
確定包含容器且有活動記錄的儲存體帳戶會以客戶自控金鑰加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.4 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
啟用雙重或聯合授權 | CMA_0226 - 啟用雙重或聯合授權 | 手動、已停用 | 1.1.0 |
維護稽核系統的完整性 | CMA_C1133 - 維護稽核系統的完整性 | 手動、已停用 | 1.1.0 |
保護稽核資訊 | CMA_0401 - 保護稽核資訊 | 手動、已停用 | 1.1.0 |
儲存體帳戶內含的容器如有活動記錄,就必須以 BYOK 加密 | 此原則會稽核內含容器且有活動記錄的儲存體帳戶是否以 BYOK 加密。 根據設計,只有在儲存體帳戶位於與活動記錄相同的訂用帳戶時,原則才會生效。 如需 Azure 儲存體待用資料加密的詳細資訊,請參閱 https://aka.ms/azurestoragebyok。 | AuditIfNotExists, Disabled | 1.0.0 |
確定 Azure Key Vault 的記錄 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.5 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定已擷取網路安全性群組流量記錄並傳送至 Log Analytics
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.6 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
所有流量記錄資源都應該處於啟用狀態 | 稽核流量記錄資源,以確認流量記錄狀態是否為已啟用。 啟用流量記錄可讓您記錄 IP 流量流動的相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.0.1 |
稽核每個虛擬網路的流量記錄設定 | 稽核虛擬網路,以確定是否已設定流量記錄。 啟用流量記錄可讓您記錄流經虛擬網路的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.0.1 |
應為每個網路安全性群組設定流量記錄 | 稽核網路安全性群組,以驗證是否已設定流量記錄。 啟用流量記錄可讓您記錄流過網路安全性群組的 IP 流量相關資訊。 其可用於將網路流量最佳化、監視輸送量、驗證合規性、偵測入侵等等。 | Audit, Disabled | 1.1.0 |
5.2
確定建立原則指派的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.1 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確保刪除原則指派存有活動記錄警示
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.2 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定建立或更新網路安全性群組的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.3 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定刪除網路安全性群組的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.4 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定建立或更新安全性解決方案的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.5 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定刪除安全性解決方案的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.6 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定有建立或更新 SQL Server 防火牆規則的活動記錄警示存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.7 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定有刪除 SQL Server 防火牆規則的活動記錄警示存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.8 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
5
確定支援 Azure 監視器資源記錄的所有服務都已啟用該記錄功能
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.4 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
App Service 應用程式應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 2.0.1 |
稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
設定 Azure 稽核功能 | CMA_C1108 - 設定 Azure 稽核功能 | 手動、已停用 | 1.1.1 |
決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
控管並監視稽核處理活動 | CMA_0289 - 控管並監視稽核處理活動 | 手動、已停用 | 1.1.0 |
應啟用 Azure Data Lake Store 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
應啟用 Azure 串流分析中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
應啟用 Batch 帳戶中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
應啟用 Data Lake Analytics 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
應啟用事件中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
應啟用 IoT 中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 3.1.0 |
應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
應啟用 Logic Apps 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.1.0 |
應啟用搜尋服務中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
應啟用服務匯流排中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
6
確定已評估並限制來自網際網路的 RDP 存取
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 6.1 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應關閉虛擬機器上的管理連接埠 | 開放的遠端管理連接埠會使您的 VM 暴露在網際網路攻擊的高風險之下。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊,來取得機器的系統管理員存取權。 | AuditIfNotExists, Disabled | 3.0.0 |
確定已評估並限制來自網際網路的 SSH 存取
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 6.2 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應關閉虛擬機器上的管理連接埠 | 開放的遠端管理連接埠會使您的 VM 暴露在網際網路攻擊的高風險之下。 這些攻擊會嘗試對認證發動暴力密碼破解攻擊,來取得機器的系統管理員存取權。 | AuditIfNotExists, Disabled | 3.0.0 |
請確認網路安全性群組流程記錄保留期間為「大於90天」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 6.5 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
確定網路監看員為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 6.6 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
驗證安全性功能 | CMA_C1708 - 驗證安全性功能 | 手動、已停用 | 1.1.0 |
7
確保虛擬機器使用受控磁碟
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.2 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
稽核不是使用受控磁碟的 VM | 此原則會稽核未使用受控磁碟的 VM | 稽核 | 1.0.0 |
控制實體存取 | CMA_0081 - 控制實體存取 | 手動、已停用 | 1.1.0 |
管理資料的輸入、輸出、處理及儲存 | CMA_0369 - 管理資料的輸入、輸出、處理及儲存 | 手動、已停用 | 1.1.0 |
檢閱標籤活動與分析 | CMA_0474 - 檢閱標籤活動與分析 | 手動、已停用 | 1.1.0 |
確定 [作業系統與資料] 磁碟已使用客戶自控金鑰 (CMK) 加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.3 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
確定 [未連接的磁碟] 已使用 [客戶自控金鑰] (CMK) 加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.4 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
受控磁碟應同時使用平台管理的金鑰和客戶自控金鑰進行雙重加密 | 要求高安全性,且擔憂與任何特定加密演算法、實作或金鑰遭盜用相關風險的客戶,可以選擇使用平台代控加密金鑰,在基礎結構層使用不同的加密演算法/模式,多一層加密的保障。 需要有磁碟加密集,才能使用雙重加密。 深入了解:https://aka.ms/disks-doubleEncryption。 | Audit, Deny, Disabled | 1.0.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
確定只安裝核准的延伸模組
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.5 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
僅應安裝已核准的 VM 擴充功能 | 此原則會控管未核准的虛擬機器延伸模組。 | Audit, Deny, Disabled | 1.0.0 |
確定已為所有虛擬機器安裝 Endpoint Protection
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.6 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
記錄安全性作業 | CMA_0202 - 記錄安全性作業 | 手動、已停用 | 1.1.0 |
管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
驗證軟體、韌體和資訊完整性 | CMA_0542 - 驗證軟體、韌體和資訊完整性 | 手動、已停用 | 1.1.0 |
[舊版] 確定 VHD 已加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.7 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
8
確定已為 RBAC 金鑰保存庫中的所有金鑰設定到期日
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.1 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
定義密碼編譯金鑰管理的組織需求 | CMA_0123 - 定義密碼編譯金鑰管理的組織需求 | 手動、已停用 | 1.1.0 |
決定判斷提示需求 | CMA_0136 - 決定判斷提示需求 | 手動、已停用 | 1.1.0 |
發行公開金鑰憑證 | CMA_0347 - 發行公開金鑰憑證 | 手動、已停用 | 1.1.0 |
Key Vault 金鑰應具有到期日 | 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
管理對稱式密碼編譯金鑰 | CMA_0367 - 管理對稱式密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
限制私密金鑰的存取 | CMA_0445 - 限制私密金鑰的存取 | 手動、已停用 | 1.1.0 |
確定已為非 RBAC 金鑰保存庫中的所有金鑰設定到期日。
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.2 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
定義密碼編譯金鑰管理的組織需求 | CMA_0123 - 定義密碼編譯金鑰管理的組織需求 | 手動、已停用 | 1.1.0 |
決定判斷提示需求 | CMA_0136 - 決定判斷提示需求 | 手動、已停用 | 1.1.0 |
發行公開金鑰憑證 | CMA_0347 - 發行公開金鑰憑證 | 手動、已停用 | 1.1.0 |
Key Vault 金鑰應具有到期日 | 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
管理對稱式密碼編譯金鑰 | CMA_0367 - 管理對稱式密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
限制私密金鑰的存取 | CMA_0445 - 限制私密金鑰的存取 | 手動、已停用 | 1.1.0 |
確定已為 RBAC 金鑰保存庫中的所有祕密設定到期日
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.3 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
定義密碼編譯金鑰管理的組織需求 | CMA_0123 - 定義密碼編譯金鑰管理的組織需求 | 手動、已停用 | 1.1.0 |
決定判斷提示需求 | CMA_0136 - 決定判斷提示需求 | 手動、已停用 | 1.1.0 |
發行公開金鑰憑證 | CMA_0347 - 發行公開金鑰憑證 | 手動、已停用 | 1.1.0 |
Key Vault 祕密應設定到期日 | 祕密應具有已定義的到期日,而不是永久有效。 永久有效的祕密會讓潛在攻擊者有更多的時間來危害祕密。 建議的安全性做法是在祕密上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
管理對稱式密碼編譯金鑰 | CMA_0367 - 管理對稱式密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
限制私密金鑰的存取 | CMA_0445 - 限制私密金鑰的存取 | 手動、已停用 | 1.1.0 |
確定已為非 RBAC 金鑰保存庫中的所有祕密設定到期日
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.4 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
定義密碼編譯金鑰管理的組織需求 | CMA_0123 - 定義密碼編譯金鑰管理的組織需求 | 手動、已停用 | 1.1.0 |
決定判斷提示需求 | CMA_0136 - 決定判斷提示需求 | 手動、已停用 | 1.1.0 |
發行公開金鑰憑證 | CMA_0347 - 發行公開金鑰憑證 | 手動、已停用 | 1.1.0 |
Key Vault 祕密應設定到期日 | 祕密應具有已定義的到期日,而不是永久有效。 永久有效的祕密會讓潛在攻擊者有更多的時間來危害祕密。 建議的安全性做法是在祕密上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
管理對稱式密碼編譯金鑰 | CMA_0367 - 管理對稱式密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
限制私密金鑰的存取 | CMA_0445 - 限制私密金鑰的存取 | 手動、已停用 | 1.1.0 |
確定金鑰保存庫可復原
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.5 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
金鑰保存庫應啟用刪除保護 | 惡意刪除金鑰保存庫可能會導致永久的資料遺失。 您可以啟用清除保護和虛刪除來防止永久遺失資料。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 請記住,在 2019 年 9 月 1 日之後建立的金鑰保存庫依預設會啟用虛刪除。 | Audit, Deny, Disabled | 2.1.0 |
金鑰保存庫應已啟用虛刪除 | 刪除未啟用虛刪除的金鑰保存庫時,將會永久刪除儲存在金鑰保存庫中的所有秘密、金鑰和憑證。 意外刪除金鑰保存庫可能會導致永久的資料遺失。 虛刪除可讓您在可設定的保留期間內復原意外刪除的金鑰保存庫。 | Audit, Deny, Disabled | 3.0.0 |
啟用 Azure Key Vault 的角色型存取控制
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.6 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Key Vault 應該使用 RBAC 權限模型 | 啟用跨 Key Vault 的 RBAC 權限模型。 深入了解:https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, Disabled | 1.0.1 |
確定私人端點用於 Azure Key Vault
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.7 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
Azure Key Vault 應使用私人連結 | Azure Private Link 可讓您將虛擬網路連線到 Azure 服務,而不需要在來源或目的地的公用 IP 位址。 Private Link 平台會透過 Azure 骨幹網路處理取用者與服務之間的連線。 只要將私人端點對應至您的金鑰保存庫,就能降低資料外洩風險。 深入了解私人連結:https://aka.ms/akvprivatelink。 | [parameters('audit_effect')] | 1.2.1 |
確定支援服務的 Azure Key Vault 內已啟用 [自動金鑰輪替]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.8 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
金鑰應該有輪替原則,以確保其輪替排程在建立後的指定天數內。 | 指定金鑰建立後直到必須輪替為止的天數上限,以管理組織的合規性需求。 | Audit, Disabled | 1.0.0 |
9
確定已為 Azure App Service 中的應用程式設定 App Service 驗證
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.1 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
App Service 應用程式應啟用驗證 | Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達 Web 應用程式,也可以在擁有權杖的要求送達 Web 應用程式前予以驗證。 | AuditIfNotExists, Disabled | 2.0.1 |
驗證密碼編譯模組 | CMA_0021 - 驗證密碼編譯模組 | 手動、已停用 | 1.1.0 |
強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
函數應用程式應已啟用驗證 | Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達函數應用程式,也可以在擁有權杖的要求送達函數應用程式前予以驗證。 | AuditIfNotExists, Disabled | 3.0.0 |
支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
確定 FTP 部署已停用
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.10 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
App Service 應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
函數應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
確定會使用 Azure Key Vault 來儲存祕密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.11 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
定義密碼編譯金鑰管理的組織需求 | CMA_0123 - 定義密碼編譯金鑰管理的組織需求 | 手動、已停用 | 1.1.0 |
決定判斷提示需求 | CMA_0136 - 決定判斷提示需求 | 手動、已停用 | 1.1.0 |
確認密碼編譯機制在組態管理之下 | CMA_C1199 - 確認密碼編譯機制在組態管理之下 | 手動、已停用 | 1.1.0 |
發行公開金鑰憑證 | CMA_0347 - 發行公開金鑰憑證 | 手動、已停用 | 1.1.0 |
維護資訊的可用性 | CMA_C1644 - 維護資訊的可用性 | 手動、已停用 | 1.1.0 |
管理對稱式密碼編譯金鑰 | CMA_0367 - 管理對稱式密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
限制私密金鑰的存取 | CMA_0445 - 限制私密金鑰的存取 | 手動、已停用 | 1.1.0 |
確定 Web 應用程式在 Azure App Service 中會將所有 HTTP 流量重新導向至 HTTPS
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.2 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
確定 Web 應用程式使用最新版本的 TLS 加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.3 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.1.0 |
使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
確定 Web 應用程式已將 [用戶端憑證 (傳入用戶端憑證)] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.4 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
[以取代]:App Service 應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則已由相同名稱的新原則取代,因為 HTTP 2.0 不支援用戶端憑證。 | Audit, Disabled | 3.1.0-deprecated |
[已取代]:函數應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則已由相同名稱的新原則取代,因為 HTTP 2.0 不支援用戶端憑證。 | Audit, Disabled | 3.1.0-已取代 |
驗證密碼編譯模組 | CMA_0021 - 驗證密碼編譯模組 | 手動、已停用 | 1.1.0 |
確定已在 App Service 上啟用 [向 Azure Active Directory 註冊]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.5 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
App Service 應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
函數應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
確定在用來執行 Web 應用程式時,「PHP 版本」是最新的
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.6 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
使用 PHP 的 App Service 應用程式插槽應使用指定的「PHP 版本」 | PHP 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 PHP 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 PHP 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
使用 PHP 的 App Service 應用程式應使用指定的「PHP 版本」 | PHP 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 PHP 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 PHP 版本。 | AuditIfNotExists, Disabled | 3.2.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
確定 [Python 版本] 在用來執行 Web 應用程式時是最新穩定版本
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.7 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
使用 Python 的 App Service 應用程式插槽應使用指定的「Python 版本」 | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 Python 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
使用 Python 的 App Service 應用程式應使用指定的「Python 版本」 | Python 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議對 App Service 應用程式使用最新的 Python 版本,以充分運用最新版本的安全性修正程式 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 Python 版本。 | AuditIfNotExists, Disabled | 4.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
確定在用來執行 Web 應用程式時,「JAVA 版本」是最新的
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.8 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
使用 JAVA 的函數應用程式插槽應使用指定的「JAVA 版本」 | Java 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Java 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 JAVA 版本。 | AuditIfNotExists, Disabled | 1.0.0 |
使用 JAVA 的函數應用程式應使用指定的「JAVA 版本」 | Java 軟體會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 建議使用適用於函式應用程式的最新 Java 版本,以利用最新版本的安全性修正 (如果有的話) 及 (或) 新功能。 此原則僅適用於 Linux 應用程式。 此原則會要求您指定符合需求的 JAVA 版本。 | AuditIfNotExists, Disabled | 3.1.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
確定在用來執行 Web 應用程式時,「HTTP 版本」是最新的
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.9 所有權:共用
名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
---|---|---|---|
App Service 應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
函數應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
下一步
有關 Azure 原則的其他文章:
- 法規合規性概觀。
- 請參閱方案定義結構。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。