Sdílet prostřednictvím

Mapování kontrol ukázky podrobného plánu Australian Government ISM PROTECTED

  • Článek

Důležité

11. července 2026 se podrobné plány (Preview) přestanou používat. Migrujte existující definice a přiřazení podrobného plánu do šablonových specifikací a zásobníků nasazení. Artefakty podrobného plánu se mají převést na šablony JSON ARM nebo soubory Bicep používané k definování zásobníků nasazení. Informace o vytváření artefaktu jako prostředku ARM najdete tady:

Následující článek podrobně popisuje, jak ukázka podrobného plánu AZURE Blueprints Australian Government ISM PROTECTED mapuje na ovládací prvky ISM PROTECTED. Další informace o ovládacích prvcích naleznete v tématu ISM PROTECTED.

Následující mapování jsou na ovládací prvky ISM PROTECTED . Pomocí navigace vpravo přejděte přímo na konkrétní mapování ovládacího prvku. Mnoho mapovaných ovládacích prvků se implementuje s iniciativou Azure Policy . Pokud chcete zkontrolovat úplnou iniciativu, otevřete na webu Azure Portal zásady a vyberte stránku Definice . Pak vyhledejte a vyberte [Preview]: Auditujte ovládací prvky ISM PROTECTED australian government a nasaďte konkrétní rozšíření virtuálních počítačů, která podporují požadavky na audit předdefinované zásady.

Důležité

Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů ve službě Azure Policy se proto týká jenom samotných zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi ovládacími prvky a definicemi azure Policy pro tuto ukázku podrobného plánu dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.

Omezení umístění

Tento podrobný plán vám pomůže omezit umístění pro nasazení všech prostředků a skupin prostředků na "Austrálie – střed", "Austrálie – střed2", "Austrálie – východ" a "Austrálie – jihovýchod" přiřazením následujících definic služby Azure Policy:

  • Povolená umístění (pevně zakódovaná na "Austrálie – střed", "Austrálie – střed2", "Austrálie – východ" a "Austrálie – jihovýchod")
  • Povolená umístění pro skupiny prostředků (je pevně zakódovaná na "Austrálie – střed", "Austrálie – střed2", "Austrálie – východ" a "Austrálie – jihovýchod")

Pokyny pro zabezpečení pracovníků – Přístup k systémům a jejich prostředkům

0414 Personál udělený přístup k systému a jeho prostředkům je jednoznačně identifikovatelný

  • U účtů s oprávněními vlastníka k vašemu předplatnému by mělo být povolené vícefaktorové ověřování.
  • Pro účty s oprávněními k zápisu v předplatném by se mělo povolit MFA.
  • U účtů s oprávněními ke čtení ve vašem předplatném by mělo být povolené vícefaktorové ověřování.

1503 Standardní přístup k systémům, aplikacím a úložištím dat je omezen na to, že pracovníci musí plnit své povinnosti.

  • Pro vaše předplatné by se měli určit nanejvýš 3 vlastníci.
  • K vašemu předplatnému by měl být přiřazený více než jeden vlastník.
  • Zobrazení výsledků auditu z virtuálních počítačů s Windows, ve kterých skupina Administrators obsahuje některé ze zadaných členů
  • Nasaďte požadavky na audit virtuálních počítačů s Windows, ve kterých skupina Administrators obsahuje některé ze zadaných členů.

1507 Privilegovaný přístup k systémům, aplikacím a úložištím dat se ověřuje při prvním vyžádání a opětovném ověření na ročním nebo častějším základě.

  • Zobrazení výsledků auditu z virtuálních počítačů s Windows, ve kterých skupina Administrators obsahuje některé ze zadaných členů
  • Nasaďte požadavky na audit virtuálních počítačů s Windows, ve kterých skupina Administrators obsahuje některé ze zadaných členů.

1508 Privilegovaný přístup k systémům, aplikacím a úložištím dat je omezený na to, že pracovníci musí plnit své povinnosti

  • Pro vaše předplatné by se měli určit nanejvýš 3 vlastníci.
  • K vašemu předplatnému by měl být přiřazený více než jeden vlastník.
  • Zobrazení výsledků auditu z virtuálních počítačů s Windows, ve kterých skupina Administrators obsahuje některé ze zadaných členů
  • Nasaďte požadavky na audit virtuálních počítačů s Windows, ve kterých skupina Administrators obsahuje některé ze zadaných členů.
  • Na virtuálních počítačích by se mělo používat řízení přístupu k síti podle potřeby

0415 Použití sdílených uživatelských účtů je přísně řízeno a pracovníci používající tyto účty jsou jednoznačně identifikovatelné.

  • Zobrazení výsledků auditu z virtuálních počítačů s Windows, ve kterých skupina Administrators obsahuje některé ze zadaných členů
  • Nasaďte požadavky na audit virtuálních počítačů s Windows, ve kterých skupina Administrators obsahuje některé ze zadaných členů.

0445 Privilegovaní uživatelé mají přiřazen vyhrazený privilegovaný účet, který se použije výhradně pro úlohy vyžadující privilegovaný přístup.

  • Zobrazení výsledků auditu z virtuálních počítačů s Windows, ve kterých skupina Administrators obsahuje některé ze zadaných členů
  • Nasaďte požadavky na audit virtuálních počítačů s Windows, ve kterých skupina Administrators obsahuje některé ze zadaných členů.

0430 Přístup k systémům, aplikacím a úložištím dat se odebere nebo pozastaví ve stejný den, kdy už pracovníci nemají oprávněný požadavek na přístup.

  • Zastaralé účty by se měly z vašeho předplatného odebrat.
  • Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat.

0441 Pokud jsou pracovníkům udělen dočasný přístup k systému, jsou zavedeny účinné bezpečnostní kontroly, aby omezily přístup pouze na informace potřebné k tomu, aby plnili své povinnosti

  • Z vašeho předplatného by se měly odebrat externí účty s oprávněními vlastníka.
  • Z předplatného by se měly odebrat externí účty s oprávněními pro zápis
  • Zastaralé účty by se měly z vašeho předplatného odebrat.
  • Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat.

Pokyny pro posílení zabezpečení systému – posílení operačního systému

1407 Nejnovější verze (N) nebo N-1 operačního systému se používá pro standardní operační prostředí (SOE)

  • Na počítače by se měly nainstalovat aktualizace systému
  • Do škálovacích sad virtuálních počítačů by se měly nainstalovat aktualizace systému.

0380 Nepotřebné účty operačního systému, software, komponenty, služby a funkce jsou odebrány nebo zakázány.

  • Zastaralé účty by se měly z vašeho předplatného odebrat.
  • Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat.

1490 Řešení pro zápis aplikací je implementováno na všech serverech, aby se omezilo spouštění spustitelných souborů, softwarových knihoven, skriptů a instalačních programů na schválenou sadu.

  • Adaptivní řízení aplikací by se mělo povolit na virtuálních počítačích.

1417 Antivirový software se implementuje na pracovních stanicích a serverech a konfiguruje se: detekce založená na podpisech povolená a nastavená na vysokou úroveň detekce a nastavená na vysokou úroveň, podpisy detekce kontrolované pro měnu a aktualizovány alespoň jednou denně, automatické a pravidelné skenování nakonfigurované pro všechny pevné disky a vyměnitelné médium

  • Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows
  • Do škálovacích sad virtuálních počítačů by se mělo nainstalovat řešení Endpoint Protection.
  • Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center

Pokyny pro posílení zabezpečení systému – posílení zabezpečení ověřování

1546 Uživatelé se ověřují před udělením přístupu k systému a jeho prostředkům.

  • Auditování neomezeného síťového přístupu k účtům úložiště
  • Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů.
  • Zobrazení výsledků auditu z virtuálních počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel
  • Nasazení požadavků pro audit virtuálních počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel
  • Zobrazení výsledků auditu z virtuálních počítačů s Linuxem, které mají účty bez hesel
  • Nasazení požadavků pro audit virtuálních počítačů s Linuxem, které mají účty bez hesel

Vícefaktorové ověřování 0974 slouží k ověřování standardních uživatelů.

  • U účtů s oprávněními ke čtení ve vašem předplatném by mělo být povolené vícefaktorové ověřování.

1173 Vícefaktorové ověřování se používá k ověřování všech privilegovaných uživatelů a všech dalších pozic důvěryhodnosti.

  • U účtů s oprávněními vlastníka k vašemu předplatnému by mělo být povolené vícefaktorové ověřování.
  • Pro účty s oprávněními k zápisu v předplatném by se mělo povolit MFA.

0421 Přístupové fráze používané pro jednofaktorové ověřování jsou minimálně 14 znaků se složitostí, ideálně jako 4 náhodná slova.

  • Zobrazení výsledků auditu z konfigurací virtuálních počítačů s Windows v části Nastavení zabezpečení – Zásady účtu
  • Nasazení požadavků pro audit konfigurací virtuálních počítačů s Windows v nastavení zabezpečení – Zásady účtu

Pokyny pro správu systému – Správa systému

1384 Vícefaktorové ověřování se používá k ověřování uživatelů při každém provádění privilegovaných akcí.

  • U účtů s oprávněními vlastníka k vašemu předplatnému by mělo být povolené vícefaktorové ověřování.
  • Pro účty s oprávněními k zápisu v předplatném by se mělo povolit MFA.
  • U účtů s oprávněními ke čtení ve vašem předplatném by mělo být povolené vícefaktorové ověřování.

Provoz správy 1386 může pocházet pouze ze síťových zón, které se používají ke správě systémů a aplikací.

  • Na virtuálních počítačích by se mělo používat řízení přístupu k síti podle potřeby
  • Vzdálené ladění by mělo být pro API Apps vypnuté.
  • Vzdálené ladění by mělo být pro aplikace Funkcí vypnuté.
  • Vzdálené ladění by mělo být pro webové aplikace vypnuté.

Pokyny pro správu systému – opravy systému

1144 Ohrožení zabezpečení v aplikacích a ovladačích vyhodnocených jako extrémní riziko jsou opravena, aktualizována nebo zmírňována do 48 hodin od zjištění ohrožení zabezpečení dodavateli, nezávislými třetími stranami, správci systémů nebo uživateli.

  • Měla by se napravit ohrožení zabezpečení ve vašich databázích SQL.
  • Na vašich serverech SQL by mělo být povolené hodnocení ohrožení zabezpečení.
  • Ve spravovaných instancích SQL by se mělo povolit posouzení ohrožení zabezpečení.
  • Na počítačích by se mělo povolit posouzení ohrožení zabezpečení.
  • V konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měla napravit ohrožení zabezpečení.
  • Ohrožení zabezpečení by se měla napravit řešením posouzení ohrožení zabezpečení.
  • V konfiguraci zabezpečení na počítačích by se měla napravit ohrožení zabezpečení.
  • Ohrožení zabezpečení v konfiguracích zabezpečení kontejnerů by se měla napravit.
  • Nastavení posouzení ohrožení zabezpečení pro SQL Server by měla obsahovat e-mailovou adresu pro příjem sestav kontroly.

0940 Ohrožení zabezpečení v aplikacích a ovladačích vyhodnocených jako vysoká rizika jsou opravena, aktualizována nebo zmírněna do dvou týdnů od zjištění ohrožení zabezpečení dodavateli, nezávislými třetími stranami, správci systému nebo uživateli.

  • Měla by se napravit ohrožení zabezpečení ve vašich databázích SQL.
  • Na vašich serverech SQL by mělo být povolené hodnocení ohrožení zabezpečení.
  • Ve spravovaných instancích SQL by se mělo povolit posouzení ohrožení zabezpečení.
  • Na virtuálních počítačích by se mělo povolit posouzení ohrožení zabezpečení.
  • V konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měla napravit ohrožení zabezpečení.
  • Ohrožení zabezpečení by se měla napravit řešením posouzení ohrožení zabezpečení.
  • V konfiguraci zabezpečení na počítačích by se měla napravit ohrožení zabezpečení.
  • Ohrožení zabezpečení v konfiguracích zabezpečení kontejnerů by se měla napravit.
  • Nastavení posouzení ohrožení zabezpečení pro SQL Server by měla obsahovat e-mailovou adresu pro příjem sestav kontroly.

1472 Ohrožení zabezpečení v aplikacích a ovladačích vyhodnocených jako středně závažná nebo nízká rizika jsou opravena, aktualizována nebo zmírněna do jednoho měsíce od zjištění ohrožení zabezpečení dodavateli, nezávislými třetími stranami, správci systémů nebo uživateli.

  • Měla by se napravit ohrožení zabezpečení ve vašich databázích SQL.
  • Na vašich serverech SQL by mělo být povolené hodnocení ohrožení zabezpečení.
  • Ve spravovaných instancích SQL by se mělo povolit posouzení ohrožení zabezpečení.
  • Na virtuálních počítačích by se mělo povolit posouzení ohrožení zabezpečení.
  • V konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měla napravit ohrožení zabezpečení.
  • Ohrožení zabezpečení by se měla napravit řešením posouzení ohrožení zabezpečení.
  • V konfiguraci zabezpečení na počítačích by se měla napravit ohrožení zabezpečení.
  • Ohrožení zabezpečení v konfiguracích zabezpečení kontejnerů by se měla napravit.
  • Nastavení posouzení ohrožení zabezpečení pro SQL Server by měla obsahovat e-mailovou adresu pro příjem sestav kontroly.

1494 Ohrožení zabezpečení v operačních systémech a firmwaru vyhodnocených jako extrémní riziko jsou opravena, aktualizována nebo zmírněna do 48 hodin od zjištění ohrožení zabezpečení dodavateli, nezávislými třetími stranami, správci systému nebo uživateli

  • Měla by se napravit ohrožení zabezpečení ve vašich databázích SQL.
  • Na vašich serverech SQL by mělo být povolené hodnocení ohrožení zabezpečení.
  • Ve spravovaných instancích SQL by se mělo povolit posouzení ohrožení zabezpečení.
  • Na virtuálních počítačích by se mělo povolit posouzení ohrožení zabezpečení.
  • V konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měla napravit ohrožení zabezpečení.
  • Ohrožení zabezpečení by se měla napravit řešením posouzení ohrožení zabezpečení.
  • V konfiguraci zabezpečení na počítačích by se měla napravit ohrožení zabezpečení.
  • Ohrožení zabezpečení v konfiguracích zabezpečení kontejnerů by se měla napravit.
  • Nastavení posouzení ohrožení zabezpečení pro SQL Server by měla obsahovat e-mailovou adresu pro příjem sestav kontroly.

1495 Ohrožení zabezpečení v operačních systémech a firmwaru vyhodnocených jako vysoká rizika jsou opravena, aktualizována nebo zmírňována do dvou týdnů od zjištění ohrožení zabezpečení dodavateli, nezávislými třetími stranami, správci systémů nebo uživateli.

  • Měla by se napravit ohrožení zabezpečení ve vašich databázích SQL.
  • Na vašich serverech SQL by mělo být povolené hodnocení ohrožení zabezpečení.
  • Ve spravovaných instancích SQL by se mělo povolit posouzení ohrožení zabezpečení.
  • Na virtuálních počítačích by se mělo povolit posouzení ohrožení zabezpečení.
  • V konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měla napravit ohrožení zabezpečení.
  • Ohrožení zabezpečení by se měla napravit řešením posouzení ohrožení zabezpečení.
  • V konfiguraci zabezpečení na počítačích by se měla napravit ohrožení zabezpečení.
  • Ohrožení zabezpečení v konfiguracích zabezpečení kontejnerů by se měla napravit.
  • Nastavení posouzení ohrožení zabezpečení pro SQL Server by měla obsahovat e-mailovou adresu pro příjem sestav kontroly.

1496 Ohrožení zabezpečení v operačních systémech a firmwaru vyhodnocených jako středně závažná nebo nízká rizika jsou opravena, aktualizována nebo zmírněna do jednoho měsíce od zjištění ohrožení zabezpečení dodavateli, nezávislými třetími stranami, správci systému nebo uživateli.

  • Měla by se napravit ohrožení zabezpečení ve vašich databázích SQL.
  • Na vašich serverech SQL by mělo být povolené hodnocení ohrožení zabezpečení.
  • Ve spravovaných instancích SQL by se mělo povolit posouzení ohrožení zabezpečení.
  • Na virtuálních počítačích by se mělo povolit posouzení ohrožení zabezpečení.
  • V konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měla napravit ohrožení zabezpečení.
  • Ohrožení zabezpečení by se měla napravit řešením posouzení ohrožení zabezpečení.
  • V konfiguraci zabezpečení na počítačích by se měla napravit ohrožení zabezpečení.
  • Ohrožení zabezpečení v konfiguracích zabezpečení kontejnerů by se měla napravit.
  • Nastavení posouzení ohrožení zabezpečení pro SQL Server by měla obsahovat e-mailovou adresu pro příjem sestav kontroly.

Pokyny pro správu systému – Zálohování a obnovení dat

1511 Zálohování důležitých informací, softwaru a nastavení konfigurace se provádí alespoň denně.

  • Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii

Pokyny pro monitorování systému – Protokolování a auditování událostí

1405 Centralizované protokolování zařízení je implementováno a systémy jsou nakonfigurovány tak, aby ukládaly protokoly událostí do centralizovaného protokolování zařízení co nejdříve po každé události

  • Předplatná Azure by měla mít profil protokolu pro protokol aktivit.

0582 Následující události jsou zaznamenány pro operační systémy: přístup k důležitým datům a procesům, chybové zprávy aplikace a všechny chybové zprávy, pokusy o použití zvláštních oprávnění, změny účtů, změny zásad zabezpečení, změny konfigurace systému, DNS (Domain Name System) a požadavky HTTP (Hypertext Transfer Protocol), neúspěšné pokusy o přístup k datům a systémovým prostředkům, selhání služby a restartování, spuštění a vypnutí systému, přenos dat do externích médií, správa uživatelů nebo skupin, použití zvláštních oprávnění

  • [Preview]: Audit nasazení agenta Log Analytics – image virtuálního počítače (operační systém) není v seznamu
  • Audit nasazení agenta Log Analytics ve VMSS – nevysazená image virtuálního počítače (OS)
  • Auditovat pracovní prostor služby Log Analytics pro virtuální počítač – Neshoda sestav
  • Auditování nastavení diagnostiky

1537 Následující události jsou zaznamenány pro databáze: přístup k zvlášť důležitým informacím, přidání nových uživatelů, zejména privilegovaných uživatelů, jakýkoli dotaz obsahující komentáře, jakýkoli dotaz obsahující více vložených dotazů, jakékoli výstrahy nebo chyby dotazu nebo databáze, pokusy o zvýšení oprávnění, pokus o přístup, který je úspěšný nebo neúspěšný, změny struktury databáze, změny rolí uživatele nebo oprávnění databáze, akce správce databáze, přihlášení k databázi a odhlášení, úpravy dat, použití spustitelných příkazů

  • Na vašich serverech SQL by mělo být povolené pokročilé zabezpečení dat.
  • Auditování nastavení diagnostiky
  • U spravovaných instancí SQL by se mělo povolit pokročilé zabezpečení dat.

Pokyny pro monitorování systému – Správa ohrožení zabezpečení

0911 Posouzení ohrožení zabezpečení a penetrační testy jsou prováděny vhodně kvalifikovanými pracovníky před nasazením systému, po významné změně systému a nejméně ročně nebo podle určení vlastníka systému.

  • Měla by se napravit ohrožení zabezpečení ve vašich databázích SQL.
  • Na vašich serverech SQL by mělo být povolené hodnocení ohrožení zabezpečení.
  • Ve spravovaných instancích SQL by se mělo povolit posouzení ohrožení zabezpečení.
  • Na virtuálních počítačích by se mělo povolit posouzení ohrožení zabezpečení.
  • V konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měla napravit ohrožení zabezpečení.
  • Ohrožení zabezpečení by se měla napravit řešením posouzení ohrožení zabezpečení.
  • V konfiguraci zabezpečení na počítačích by se měla napravit ohrožení zabezpečení.
  • Ohrožení zabezpečení v konfiguracích zabezpečení kontejnerů by se měla napravit.

Pokyny pro správu databázových systémů – Databázové servery

1425 Pevných disků databázových serverů se šifruje pomocí úplného šifrování disku.

  • Pro virtuální počítače by se mělo povolit šifrování disků
  • transparentní šifrování dat v databázích SQL by měly být povolené

1277 Informace komunikované mezi databázovými servery a webovými aplikacemi jsou šifrované

  • Měla by se povolit jen zabezpečená připojení k Redis Cache.
  • Měl by se povolit zabezpečený přenos do účtů úložiště
  • Zobrazení výsledků auditu z webových serverů s Windows, které nepoužívají zabezpečené komunikační protokoly
  • Nasazení požadavků na audit webových serverů s Windows, které nepoužívají zabezpečené komunikační protokoly

Pokyny pro správu databázových systémů – software systému pro správu databází

1260 Výchozí účty správce databáze jsou zakázané, přejmenované nebo mají změněné přístupové fráze

  • Správce Azure Active Directory by měl být zřízený pro sql servery.

1262 Správci databází mají jedinečné a identifikovatelné účty

  • Správce Azure Active Directory by měl být zřízený pro sql servery.

1261 Účty správce databáze se nesdílejí mezi různými databázemi.

  • Správce Azure Active Directory by měl být zřízený pro sql servery.

1263 Účty správce databáze se používají výhradně pro úlohy správy, přičemž standardní databázové účty používané pro obecné účely interakce s databází

  • Správce Azure Active Directory by měl být zřízený pro sql servery.

Přístup správce databáze 1264 je omezen na definované role místo účtů s výchozími oprávněními správce nebo všechna oprávnění.

  • Správce Azure Active Directory by měl být zřízený pro sql servery.

Pokyny pro používání kryptografie – základy kryptografie

0459 Šifrovací software používaný pro neaktivní uložená data implementuje úplné šifrování disku nebo částečné šifrování, kde řízení přístupu umožní zápis pouze do šifrovaného oddílu.

  • Pro virtuální počítače by se mělo povolit šifrování disků

Pokyny pro používání kryptografie – Zabezpečení přenosové vrstvy

1139 Používá se pouze nejnovější verze protokolu TLS.

  • Nejnovější verze protokolu TLS by se měla používat ve vaší aplikaci API.
  • Ve webové aplikaci by se měla používat nejnovější verze protokolu TLS.
  • Ve vaší aplikaci funkcí by se měla používat nejnovější verze protokolu TLS.
  • Nasazení požadavků na audit webových serverů s Windows, které nepoužívají zabezpečené komunikační protokoly
  • Zobrazení výsledků auditu z webových serverů s Windows, které nepoužívají zabezpečené komunikační protokoly

Pokyny pro přenosy dat a filtrování obsahu – filtrování obsahu

1288 Antivirová kontrola pomocí více různých skenovacích modulů se provádí na veškerém obsahu

  • Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows
  • Do škálovacích sad virtuálních počítačů by se mělo nainstalovat řešení Endpoint Protection.
  • Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center

Pokyny pro přenosy dat a filtrování obsahu – vývoj webových aplikací

1552 Veškerý obsah webové aplikace je nabízen výhradně pomocí HTTPS

  • Aplikace funkcí by měla být přístupná jenom přes HTTPS.
  • Aplikace API by měla být přístupná jenom přes HTTPS.
  • Webová aplikace by měla být přístupná jen přes protokol HTTPS
  • Měla by se povolit jen zabezpečená připojení k Redis Cache.

1424 Ovládací prvky zabezpečení založené na webovém prohlížeči jsou implementovány pro webové aplikace, aby pomohly chránit webové aplikace i jejich uživatele

  • Sdílení CORS by nemělo umožňovat přístup k webovým aplikacím všem prostředkům

Pokyny pro správu sítě – Návrh a konfigurace sítě

0520 Řízení přístupu k síti jsou implementovány v sítích, aby se zabránilo připojení neoprávněných síťových zařízení

  • Auditování neomezeného síťového přístupu k účtům úložiště

1182 Řízení přístupu k síti se implementuje tak, aby omezovala provoz v rámci síťových segmentů a mezi nimi pouze na ty, které jsou požadovány pro obchodní účely.

  • Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě.
  • Auditování neomezeného síťového přístupu k účtům úložiště
  • Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích.

Pokyny pro správu sítě – Kontinuita služeb pro online služby

1431 Strategie ochrany před útoky na dostupnost služby a zmírnění rizik jsou popsány s poskytovateli služeb, konkrétně: jejich schopnost odolat útokům na dostupnost služby, případné náklady, které by mohly vzniknout zákazníkům způsobeným útoky na dostupnost služby, prahovými hodnotami pro upozorňování zákazníků nebo vypnutím jejich online služby během útoků na dostupnost služby, předschváliných akcí, které je možné provést během útoků na dostupnost služby, uspořádání ochrany před útoky na dostupnost služby s upstreamovými poskytovateli, které blokují škodlivý provoz co nejvíce směrem k upstreamu

  • Měla by být povolená ochrana před útoky DDoS.

Poznámka:

Dostupnost konkrétních definic Azure Policy se může lišit v Azure Government a dalších národních cloudech.

Další kroky

Další články věnované podrobným plánům a postupu jejich využití:

Podrobný plán ISM PROTECTED – Přehledpodrobného plánu ISM PROTECTED – Kroky nasazení