CIS Microsoft Azure 基礎基準測試 1.1.0 (Azure Government) 法規遵循內建計畫的詳細資料
下列文章詳細說明 Azure 原則法規合規性內建方案定義如何對應至 對應至 CIS Microsoft Azure 基礎基準測試 1.1.0 (Azure Government) 中的合規性網域和控制項。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure 基礎基準測試 1.1.0。 若要了解所有權,請參閱 Azure 原則原則定義與雲端中共同承擔的責任。
下列是 CIS Microsoft Azure 基礎基準測試 1.1.0 控制項的對應。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 然後,尋找並選取 CIS Microsoft Azure 基礎基準測試 1.1.0 法規遵循內建計畫的定義。
重要
下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。
1 身分識別和存取管理
確定已為所有具特殊權限的使用者啟用多重要素驗證
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
確定已為所有不具特殊權限的使用者啟用多重要素驗證
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
確定沒有任何來賓使用者
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
2 資訊安全中心
確定已選取標準定價層
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | AuditIfNotExists, Disabled | 1.0.4 |
確定 ASC 預設原則設定 [監視 JIT 網路存取] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.12 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
確定 ASC 預設原則設定 [監視自適性應用程式允許清單] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.13 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
確定 ASC 預設原則設定 [監視 SQL 稽核] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.14 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
確定 ASC 預設原則設定 [監視 SQL 加密] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.15 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
確定已設定 [安全性連絡人電子郵件]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.16 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
確定 [在出現高嚴重性警示時傳送電子郵件通知] 會設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.18 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.0.1 |
確定 [同時將電子郵件傳送給訂用帳戶擁有者] 會設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.19 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.0.0 |
確定 [監視代理程式的自動化佈建] 會設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的訂用帳戶上應啟用 Log Analytics 代理程式的自動化佈建 | 為了監視是否有安全性弱點及威脅,Azure 資訊安全中心會從 Azure 虛擬機器收集資料。 資料會由 Log Analytics 代理程式 (先前稱為 Microsoft Monitoring Agent (MMA)) 進行收集,收集的方式是讀取機器的各種安全性相關組態和事件記錄,並將資料複製到 Log Analytics 工作區進行分析。 建議您啟用自動佈建,以將代理程式自動部署到所有受支援的 Azure VM 和任何新建立的 VM。 | AuditIfNotExists, Disabled | 1.0.1 |
確定 ASC 預設原則設定 [監視系統更新] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您應在機器上安裝系統更新 | Azure 資訊安全中心會依建議監視伺服器上缺少的安全性系統更新 | AuditIfNotExists, Disabled | 3.0.0 |
確定 ASC 預設原則設定 [監視 OS 弱點] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您應在機器上修復安全性組態的弱點 | Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
確定 ASC 預設原則設定 [監視端點保護] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection | Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
確定 ASC 預設原則設定 [監視磁碟加密] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
確定 ASC 預設原則設定 [啟用新一代防火牆 (NGFW) 監視] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.9 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
3 儲存體帳戶
確定 [需要安全傳輸] 設定為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
確定儲存體帳戶的預設網路存取規則設定為拒絕
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
確定已啟用 [信任的 Microsoft 服務] 來進行儲存體帳戶存取
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.8 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 儲存體帳戶應允許來自信任 Microsoft 服務的存取 | 有些與儲存體帳戶互動的 Microsoft 服務是從無法透過網路規則授與存取權的網路運作。 若要讓這類服務如預期方式運作,請允許受信任的 Microsoft 服務集合略過網路規則。 這些服務會使用增強式驗證存取儲存體帳戶。 | Audit, Deny, Disabled | 1.0.0 |
4 資料庫服務
確定 [稽核] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
確定 SQL 伺服器的 TDE 保護裝置已使用 BYOK 加密 (使用您自己的金鑰)
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.10 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| SQL 受控執行個體應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.0 |
| SQL 伺服器應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.1 |
確定會為 MySQL 資料庫伺服器將 [強制執行 SSL 連線] 設定為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.11 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
確定會為 PostgreSQL 資料庫伺服器將 [log_checkpoints] 伺服器參數設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.12 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為 PostgreSQL 資料庫伺服器啟用記錄檢查點 | 此原則可協助稽核您環境中任何未啟用 log_checkpoints 設定的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
確定會為 PostgreSQL 資料庫伺服器將 [強制執行 SSL 連線] 設定為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.13 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
確定會為 PostgreSQL 資料庫伺服器將 [log_connections] 伺服器參數設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.14 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為 PostgreSQL 資料庫伺服器啟用記錄連線 | 此原則可協助稽核您環境中任何未啟用 log_connections 設定的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
確定會為 PostgreSQL 資料庫伺服器將 [log_disconnections] 伺服器參數設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.15 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為 PostgreSQL 資料庫伺服器記錄中斷連線。 | 此原則可協助稽核您環境中任何未啟用 log_disconnections 的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
確定會為 PostgreSQL 資料庫伺服器將 [connection_throttling] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.17 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為 PostgreSQL 資料庫伺服器啟用連線節流 | 此原則可協助稽核您環境中任何未啟用連線節流的 PostgreSQL 資料庫。 此設定可針對每個發生太多無效密碼登入失敗的 IP 啟用暫時連線節流。 | AuditIfNotExists, Disabled | 1.0.0 |
確定已在 SQL 伺服器的 [稽核] 原則中正確設定了 'AuditActionGroups' 原則
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| SQL 審核設定應已設定動作群組來擷取重要活動 | AuditActionsAndGroups 屬性至少應包含 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP,才可確保完整記錄稽核 | AuditIfNotExists, Disabled | 1.0.0 |
確定 [稽核] 保留期「大於 90 天」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 對儲存體帳戶目的地進行稽核的 SQL 伺服器保留期應設定為 90 天 (含) 以上 | 為了進行事件調查,建議您將 SQL Server 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。 確認您符合您正在操作區域所需的保留規則。 有時候必須如此才能符合法規標準。 | AuditIfNotExists, Disabled | 3.0.0 |
確定 SQL 伺服器上的 [進階資料安全性] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
確定已設定 Azure Active Directory 系統管理員
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.8 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
確定 SQL Database 上的 [資料加密] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.9 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
5 記錄和監視
確定記錄設定檔存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 此原則可確保記錄設定檔已啟用,可用於匯出活動記錄。 如果沒有建立記錄檔設定檔來將記錄匯出至儲存體帳戶或事件中樞,則會進行稽核。 | AuditIfNotExists, Disabled | 1.0.0 |
確定 [活動記錄保留] 會設定為 365 天或更長天數
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 活動記錄至少應保留一年 | 若保留期未設為 365 天或永久 (保留期設為 0),此原則就會稽核活動記錄。 | AuditIfNotExists, Disabled | 1.0.0 |
確定稽核設定檔會擷取所有活動
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 此原則可確保記錄設定檔會收集「寫入」、「刪除」和「動作」類別的記錄 | AuditIfNotExists, Disabled | 1.0.0 |
確定記錄設定檔會擷取所有區域 (包括全球) 的活動記錄
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure 監視器應從所有區域收集活動記錄 | 此原則會稽核不從所有 Azure 支援區域 (包括全球) 匯出活動的 Azure 監視器記錄設定檔。 | AuditIfNotExists, Disabled | 2.0.0 |
確保內含容器且有活動記錄的儲存體帳戶會以 BYOK (使用您自己的金鑰) 加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 儲存體帳戶內含的容器如有活動記錄,就必須以 BYOK 加密 | 此原則會稽核內含容器且有活動記錄的儲存體帳戶是否以 BYOK 加密。 根據設計,只有在儲存體帳戶位於與活動記錄相同的訂用帳戶時,原則才會生效。 如需 Azure 儲存體待用資料加密的詳細資訊,請參閱 https://aka.ms/azurestoragebyok。 | AuditIfNotExists, Disabled | 1.0.0 |
確定 Azure KeyVault 的記錄是 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
確定建立原則指派的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
確定建立或更新網路安全性群組的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
確定刪除網路安全性群組的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
確定建立或更新網路安全性群組規則的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
確定刪除網路安全性群組規則的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
確定建立或更新安全性解決方案的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
確定刪除安全性解決方案的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
確定建立、更新或刪除 SQL Server 防火牆規則的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.8 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
確定更新安全性原則的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.9 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
6 網路功能
確定網路監看員為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 6.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
7 虛擬機器
確定 [OS 磁碟] 已加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
確定 [資料磁碟] 已加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
確定只安裝核准的擴充功能
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 僅應安裝已核准的 VM 擴充功能 | 此原則會控管未核准的虛擬機器延伸模組。 | Audit, Deny, Disabled | 1.0.0 |
確定已為所有虛擬機器套用最新 OS 修補程式
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您應在機器上安裝系統更新 | Azure 資訊安全中心會依建議監視伺服器上缺少的安全性系統更新 | AuditIfNotExists, Disabled | 3.0.0 |
確定已為所有虛擬機器安裝端點
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection | Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
8 其他安全性考量
確定金鑰保存庫可復原
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 金鑰保存庫應啟用刪除保護 | 惡意刪除金鑰保存庫可能會導致永久的資料遺失。 您可以啟用清除保護和虛刪除來防止永久遺失資料。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 請記住,在 2019 年 9 月 1 日之後建立的金鑰保存庫預設會啟用虛刪除。 | Audit, Deny, Disabled | 2.1.0 |
在 Azure Kubernetes Services 中啟用角色型存取控制 (RBAC)
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在 Kubernetes Service 上使用 Azure 角色型存取控制 (RBAC) | 若要提供使用者可執行之動作的精細篩選,請使用 Azure 角色型存取控制 (RBAC) 來管理 Kubernetes Service 叢集中的權限,並設定相關的授權原則。 | Audit, Disabled | 1.0.3 |
9 AppService
確定已在 Azure App Service 上設定 App Service 驗證
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應啟用驗證 | Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達 Web 應用程式,也可以在擁有權杖的要求送達 Web 應用程式前予以驗證。 | AuditIfNotExists, Disabled | 2.0.1 |
| 函數應用程式應已啟用驗證 | Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達函數應用程式,也可以在擁有權杖的要求送達函數應用程式前予以驗證。 | AuditIfNotExists, Disabled | 3.0.0 |
確定 'HTTP' 在用來執行 Web 應用程式時,版本是最新的
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.10 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
| 函數應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
確定 Web 應用程式在 Azure App Service 中會將所有 HTTP 流量重新導向至 HTTPS
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
確定 Web 應用程式使用最新版本的 TLS 加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
| 函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
確定 Web 應用程式已將 [用戶端憑證 (傳入用戶端憑證)] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [已取代]:函式應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則已由相同名稱的新原則取代,因為 HTTP 2.0 不支援用戶端憑證。 | Audit, Disabled | 3.1.0-deprecated |
| App Service 應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 Http 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
確定已在 App Service 上啟用 [向 Azure Active Directory 註冊]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| 函數應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
下一步
有關 Azure 原則的其他文章:
- 法規合規性概觀。
- 請參閱方案定義結構。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。