CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government) 法規合規性內建方案的詳細數據
下列文章詳細說明 Azure 原則 法規合規性內建方案定義如何對應至 CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government) 中的合規性網域和控件。 如需此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure Foundations Benchmark 1.3.0。 若要了解所有權,請參閱 Azure 原則原則定義與雲端中共同承擔的責任。
下列對應適用於 CIS Microsoft Azure Foundations Benchmark 1.3.0 控件。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 然後,尋找並選取 CIS Microsoft Azure Foundations Benchmark v1.3.0 法規合規性內建方案定義。
重要
下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。
1 身分識別和存取管理
確定已為所有具特殊權限的使用者啟用多重要素驗證
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
確定已為所有不具特殊權限的使用者啟用多重要素驗證
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
確保客體使用者每月都受到審核
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
2 資訊安全中心
確保伺服器的 Azure Defender 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
確定 [監視代理程式的自動化佈建] 會設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.11 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的訂用帳戶上應啟用 Log Analytics 代理程式的自動化佈建 | 為了監視是否有安全性弱點及威脅,Azure 資訊安全中心會從 Azure 虛擬機器收集資料。 資料會由 Log Analytics 代理程式 (先前稱為 Microsoft Monitoring Agent (MMA)) 進行收集,收集的方式是讀取機器的各種安全性相關組態和事件記錄,並將資料複製到 Log Analytics 工作區進行分析。 建議您啟用自動佈建,以將代理程式自動部署到所有受支援的 Azure VM 和任何新建立的 VM。 | AuditIfNotExists, Disabled | 1.0.1 |
確保認已使用安全性連絡人電子郵件設定「其他電子郵件地址」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.13 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
確保 [通報下列嚴重程度的警示] 設定為 [高嚴重性]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.14 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.0.1 |
確保 Azure SQL 資料庫伺服器的 Azure Defender 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
確保儲存體的 Azure Defender 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該啟用適用於儲存體的 Microsoft Defender (傳統) | 適用於儲存體的 Microsoft Defender (傳統) 會偵測異常且可能有害的儲存體帳戶存取或攻擊意圖。 | AuditIfNotExists, Disabled | 1.0.4 |
確保 Kubernetes 的 Azure Defender 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
確保針對容器登錄將 Azure Defender 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
3 儲存體帳戶
確定 [需要安全傳輸] 設定為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
確定儲存體帳戶的預設網路存取規則設定為拒絕
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
| 儲存體帳戶應使用虛擬網路規則來限制網路存取 | 使用虛擬網路規則作為慣用方法而非 IP 型篩選,可為您的儲存體帳戶抵禦潛在威脅。 停用 IP 型篩選可防止公用 IP 存取您的儲存體帳戶。 | Audit, Deny, Disabled | 1.0.1 |
確定已啟用 [信任的 Microsoft 服務] 來進行儲存體帳戶存取
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 儲存體帳戶應允許來自信任 Microsoft 服務的存取 | 有些與儲存體帳戶互動的 Microsoft 服務是從無法透過網路規則授與存取權的網路運作。 若要讓這類服務如預期方式運作,請允許受信任的 Microsoft 服務集合略過網路規則。 這些服務會使用增強式驗證存取儲存體帳戶。 | Audit, Deny, Disabled | 1.0.0 |
確認儲存體中的重要資料是使用客戶自控金鑰進行加密
標識碼:CIS Microsoft Azure 基礎基準檢驗建議 3.9 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 儲存體帳戶應使用客戶自控金鑰進行加密 | 使用客戶自控金鑰,以更具彈性的方式保護您的 blob 和檔案儲存體帳戶。 當您指定客戶自控金鑰時,該金鑰會用來保護及控制加密資料所需金鑰的存取權。 客戶自控金鑰提供額外的功能,可用於控制金鑰輪替,或以密碼編譯的方式清除資料。 | Audit, Disabled | 1.0.3 |
4 資料庫服務
確定 [稽核] 設定為 [開啟]
標識碼:CIS Microsoft Azure 基礎基準檢驗建議 4.1.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
確定 SQL Database 上的 [資料加密] 設定為 [開啟]
標識碼:CIS Microsoft Azure 基礎基準檢驗建議 4.1.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
確定 [稽核] 保留期「大於 90 天」
標識碼:CIS Microsoft Azure 基礎基準檢驗建議 4.1.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 對儲存體帳戶目的地進行稽核的 SQL 伺服器保留期應設定為 90 天 (含) 以上 | 為了進行事件調查,建議您將 SQL Server 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。 確認您符合您正在操作區域所需的保留規則。 有時候必須如此才能符合法規標準。 | AuditIfNotExists, Disabled | 3.0.0 |
確保 SQL Server 上的進階威脅防護 (ATP) 設為 [已啟用]
標識碼:CIS Microsoft Azure 基礎基準檢驗建議 4.2.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
設定儲存體帳戶,確保 SQL Server 上已啟用弱點評估 (VA)
標識碼:CIS Microsoft Azure 基礎基準檢驗建議 4.2.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在 SQL 受控執行個體上啟用弱點評定 | 稽核每個未啟用週期性弱點評估掃描的 SQL 受控執行個體。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 1.0.1 |
| 弱點評估應於您的 SQL 伺服器上啟用 | 稽核未正確設定弱點評估的 Azure SQL 伺服器。 弱點評估可發現、追蹤並協助您補救資料庫的潛在弱點。 | AuditIfNotExists, Disabled | 3.0.0 |
確定會為 PostgreSQL 資料庫伺服器將 [強制執行 SSL 連線] 設定為 [已啟用]
標識碼:CIS Microsoft Azure 基礎基準檢驗建議 4.3.1 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
確定會為 MySQL 資料庫伺服器將 [強制執行 SSL 連線] 設定為 [已啟用]
標識碼:CIS Microsoft Azure 基礎基準檢驗建議 4.3.2 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
確定會為 PostgreSQL 資料庫伺服器將 [log_checkpoints] 伺服器參數設定為 [開啟]
標識碼:CIS Microsoft Azure 基礎基準檢驗建議 4.3.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為 PostgreSQL 資料庫伺服器啟用記錄檢查點 | 此原則可協助稽核您環境中任何未啟用 log_checkpoints 設定的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
確定會為 PostgreSQL 資料庫伺服器將 [log_connections] 伺服器參數設定為 [開啟]
標識碼:CIS Microsoft Azure 基礎基準檢驗建議 4.3.4 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為 PostgreSQL 資料庫伺服器啟用記錄連線 | 此原則可協助稽核您環境中任何未啟用 log_connections 設定的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
確定會為 PostgreSQL 資料庫伺服器將 [log_disconnections] 伺服器參數設定為 [開啟]
標識碼:CIS Microsoft Azure 基礎基準檢驗建議 4.3.5 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為 PostgreSQL 資料庫伺服器記錄中斷連線。 | 此原則可協助稽核您環境中任何未啟用 log_disconnections 的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
確定會為 PostgreSQL 資料庫伺服器將 [connection_throttling] 設定為 [開啟]
標識碼:CIS Microsoft Azure 基礎基準檢驗建議 4.3.6 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為 PostgreSQL 資料庫伺服器啟用連線節流 | 此原則可協助稽核您環境中任何未啟用連線節流的 PostgreSQL 資料庫。 此設定可針對每個發生太多無效密碼登入失敗的 IP 啟用暫時連線節流。 | AuditIfNotExists, Disabled | 1.0.0 |
確定已設定 Azure Active Directory 系統管理員
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
確保 SQL Server 的 TDE 保護裝置已使用了客戶自控金鑰加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| SQL 受控執行個體應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.0 |
| SQL 伺服器應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.1 |
5 記錄和監視
確保內含容器且有活動記錄的儲存體帳戶會以 BYOK (使用您自己的金鑰) 加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 儲存體帳戶內含的容器如有活動記錄,就必須以 BYOK 加密 | 此原則會稽核內含容器且有活動記錄的儲存體帳戶是否以 BYOK 加密。 根據設計,只有在儲存體帳戶位於與活動記錄相同的訂用帳戶時,原則才會生效。 如需 Azure 儲存體待用資料加密的詳細資訊,請參閱 https://aka.ms/azurestoragebyok。 | AuditIfNotExists, Disabled | 1.0.0 |
確定 Azure KeyVault 的記錄是 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
確定建立原則指派的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
確保刪除原則指派存有活動記錄警示
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
確定建立或更新網路安全性群組的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
確定刪除網路安全性群組的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
確定建立或更新網路安全性群組規則的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
確定刪除網路安全性群組規則的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
確定建立或更新安全性解決方案的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
確定刪除安全性解決方案的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.8 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
確定建立、更新或刪除 SQL Server 防火牆規則的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.9 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
確定支援診斷記錄的所有服務都已啟用診斷記錄。
標識碼:CIS Microsoft Azure 基礎基準檢驗建議 5.3 擁有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應啟用資源記錄 | 稽核應用程式上資源記錄的啟用。 如果發生安全性事件或網路遭到損害,這可讓您重新建立活動線索供調查之用。 | AuditIfNotExists, Disabled | 2.0.1 |
| 應啟用 Azure Data Lake Store 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Azure 串流分析中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Batch 帳戶中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Data Lake Analytics 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用事件中樞內的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用 Logic Apps 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.1.0 |
| 應啟用搜尋服務中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 應啟用服務匯流排中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
6 網路功能
確定網路監看員為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 6.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
7 虛擬機器
確保虛擬機器使用受控磁碟
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核不是使用受控磁碟的 VM | 此原則會稽核未使用受控磁碟的 VM | 稽核 | 1.0.0 |
確保「作業系統與資料」磁碟已透過 CMK 加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
確定只安裝核准的擴充功能
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 僅應安裝已核准的 VM 擴充功能 | 此原則會控管未核准的虛擬機器延伸模組。 | Audit, Deny, Disabled | 1.0.0 |
確定已為所有虛擬機器套用最新 OS 修補程式
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您應在機器上安裝系統更新 | Azure 資訊安全中心會依建議監視伺服器上缺少的安全性系統更新 | AuditIfNotExists, Disabled | 3.0.0 |
確定已為所有虛擬機器安裝端點
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection | Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
8 其他安全性考量
確定金鑰保存庫可復原
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 金鑰保存庫應啟用刪除保護 | 惡意刪除金鑰保存庫可能會導致永久的資料遺失。 您可以啟用清除保護和虛刪除來防止永久遺失資料。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 請記住,在 2019 年 9 月 1 日之後建立的金鑰保存庫預設會啟用虛刪除。 | Audit, Deny, Disabled | 2.1.0 |
在 Azure Kubernetes Services 中啟用角色型存取控制 (RBAC)
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在 Kubernetes Service 上使用 Azure 角色型存取控制 (RBAC) | 若要提供使用者可執行之動作的精細篩選,請使用 Azure 角色型存取控制 (RBAC) 來管理 Kubernetes Service 叢集中的權限,並設定相關的授權原則。 | Audit, Disabled | 1.0.3 |
9 AppService
確定已在 Azure App Service 上設定 App Service 驗證
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應啟用驗證 | Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達 Web 應用程式,也可以在擁有權杖的要求送達 Web 應用程式前予以驗證。 | AuditIfNotExists, Disabled | 2.0.1 |
| 函數應用程式應已啟用驗證 | Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達函數應用程式,也可以在擁有權杖的要求送達函數應用程式前予以驗證。 | AuditIfNotExists, Disabled | 3.0.0 |
確保 FTP 部署已停用
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.10 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
| 函數應用程式應只需要 FTPS | 啟用 FTPS 強制執行以增強安全性。 | AuditIfNotExists, Disabled | 3.0.0 |
確定 Web 應用程式在 Azure App Service 中會將所有 HTTP 流量重新導向至 HTTPS
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
確定 Web 應用程式使用最新版本的 TLS 加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
| 函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
確定 Web 應用程式已將 [用戶端憑證 (傳入用戶端憑證)] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [已取代]:函式應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則已由相同名稱的新原則取代,因為 Http 2.0 不支援用戶端憑證。 | Audit, Disabled | 3.1.0-deprecated |
| App Service 應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 Http 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
確定已在 App Service 上啟用 [向 Azure Active Directory 註冊]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| 函數應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
確定 'HTTP' 在用來執行 Web 應用程式時,版本是最新的
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.9 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
| 函數應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
下一步
有關 Azure 原則的其他文章:
- 法規合規性概觀。
- 請參閱方案定義結構。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。