Mapování kontrol ukázky podrobného plánu SWIFT CSP-CSCF v2020

Následující článek podrobně popisuje, jak se ukázka podrobného plánu SWIFT CSP-CSCF v2020 mapuje na ovládací prvky SWIFT CSP-CSCF v2020. Další informace o ovládacích prvcích naleznete v tématu SWIFT CSP-CSCF v2020.

Následující mapování jsou na ovládací prvky SWIFT CSP-CSCF v2020 . Pomocí navigace vpravo přejděte přímo na konkrétní mapování ovládacího prvku. Mnoho mapovaných ovládacích prvků se implementuje s iniciativou Azure Policy . Pokud chcete zkontrolovat úplnou iniciativu, otevřete na webu Azure Portal zásady a vyberte stránku Definice . Pak vyhledejte a vyberte [Preview]: Auditujte ovládací prvky SWIFT CSP-CSCF v2020 a nasaďte konkrétní rozšíření virtuálních počítačů pro podporu požadavků na audit předdefinovaných zásad.

Důležité

Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů ve službě Azure Policy se proto týká jenom samotných zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi ovládacími prvky a definicemi azure Policy pro tuto ukázku podrobného plánu dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.

1.2 a 5.1 Správa účtů

Tento podrobný plán vám pomůže zkontrolovat účty, které nemusí vyhovovat požadavkům vaší organizace na správu účtů. Tento podrobný plán přiřazuje definice azure Policy , které auditují externí účty s oprávněními ke čtení, zápisu a vlastníkovi u předplatného a zastaralých účtů. Kontrolouúčtůch

• Zastaralé účty by se měly z vašeho předplatného odebrat.
• Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat.
• Z vašeho předplatného by se měly odebrat externí účty s oprávněními vlastníka.
• Externí účty s oprávněními ke čtení by se měly z vašeho předplatného odebrat.
• Z předplatného by se měly odebrat externí účty s oprávněními pro zápis

2.6, 5.1, 6.4 a 6.5A Správa účtů | Schémata založená na rolích

Řízení přístupu na základě role v Azure (Azure RBAC) vám pomůže spravovat, kdo má přístup k prostředkům v Azure. Pomocí webu Azure Portal můžete zkontrolovat, kdo má přístup k prostředkům Azure a jejich oprávnění. Tento podrobný plán také přiřazuje definice azure Policy k auditování použití ověřování Azure Active Directory pro SQL Servery a Service Fabric. Použití ověřování Azure Active Directory umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft. Kromě toho tento podrobný plán přiřadí definici služby Azure Policy k auditování použití vlastních pravidel Azure RBAC. Pochopení toho, kde se implementují vlastní pravidla Azure RBAC, vám můžou pomoct ověřit potřebu a správnou implementaci, protože vlastní pravidla Azure RBAC jsou náchylná k chybám.

• Správce Azure Active Directory by měl být zřízený pro sql servery.
• Auditovat virtuální počítače, které nevyužívají spravované disky
• Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů.

2.9A Správa účtů | Monitorování účtů / neobvyklé využití

Přístup k virtuálním počítačům za běhu (JIT) uzamkne příchozí provoz do virtuálních počítačů Azure, což snižuje riziko útoků a v případě potřeby poskytuje snadný přístup k virtuálním počítačům. Všechny žádosti JIT o přístup k virtuálním počítačům se protokolují v protokolu aktivit, který umožňuje monitorovat neobvyklé využití. Tento podrobný plán přiřadí definici služby Azure Policy , která vám pomůže monitorovat virtuální počítače, které můžou podporovat přístup za běhu, ale ještě nejsou nakonfigurované.

• Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.

1.3, 5.1 a 6.4 Oddělení povinností

Mít jenom jednoho vlastníka předplatného Azure neumožňuje redundanci správy. Naopak příliš mnoho vlastníků předplatného Azure může zvýšit potenciál porušení zabezpečení prostřednictvím ohroženého účtu vlastníka. Tento podrobný plán vám pomůže udržovat odpovídající počet vlastníků předplatného Azure tím, že přiřadíte definice Azure Policy , které auditují počet vlastníků předplatných Azure. Tento podrobný plán také přiřazuje definice služby Azure Policy, které vám pomůžou řídit členství ve skupině Administrators na virtuálních počítačích s Windows. Správa oprávnění vlastníka předplatného a správce virtuálních počítačů vám může pomoct s implementací vhodného oddělení povinností.

• Pro vaše předplatné by se měli určit nanejvýš 3 vlastníci.
• Zobrazení výsledků auditu z virtuálních počítačů s Windows, ve kterých skupina Administrators neobsahuje všechny zadané členy
• Nasazení požadavků pro audit virtuálních počítačů s Windows, ve kterých skupina Administrators neobsahuje všechny zadané členy
• K vašemu předplatnému by měl být přiřazený více než jeden vlastník.

1.3, 5.1 a 6.4 Nejnižší oprávnění | Kontrola uživatelských oprávnění

Řízení přístupu na základě role v Azure (Azure RBAC) pomáhá spravovat, kdo má přístup k prostředkům v Azure. Pomocí webu Azure Portal můžete zkontrolovat, kdo má přístup k prostředkům Azure a jejich oprávnění. Tento podrobný plán přiřazuje definici Azure Policy k účtům auditu, u které by se měla určit priorita kontroly. Kontrola těchto indikátorů účtu vám může pomoct zajistit implementaci kontrolních mechanismů s nejnižšími oprávněními.

• Pro vaše předplatné by se měli určit nanejvýš 3 vlastníci.
• Zobrazení výsledků auditu z virtuálních počítačů s Windows, které nejsou připojené k zadané doméně
• Nasazení požadavků pro audit virtuálních počítačů s Windows, které nejsou připojené k zadané doméně
• K vašemu předplatnému by měl být přiřazený více než jeden vlastník.

2.2 a 2.7 Atributy zabezpečení

Funkce zjišťování a klasifikace dat pokročilého zabezpečení dat pro Azure SQL Database poskytuje možnosti pro zjišťování, klasifikaci, označování a ochranu citlivých dat v databázích. Může sloužit k poskytování přehledu o stavu klasifikace databáze a ke sledování přístupu k citlivým datům v databázi i mimo ni. Pokročilé zabezpečení dat vám může pomoct zajistit informace přidružené k příslušným atributům zabezpečení pro vaši organizaci. Tento podrobný plán přiřazuje definice služby Azure Policy k monitorování a vynucování použití rozšířeného zabezpečení dat na SQL Serveru.

• Na vašich serverech SQL by mělo být povolené pokročilé zabezpečení dat.
• Nasazení Advanced Data Security na SQL serverech

2.2, 2.7, 4.1 a 6.1 Vzdálený přístup | Automatizované monitorování / řízení

Tento podrobný plán vám pomůže monitorovat a řídit vzdálený přístup přiřazením definic Azure Policy k monitorování vzdáleného ladění pro aplikaci služby Aplikace Azure Service je vypnuté a definice zásad, které auditují virtuální počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel. Tento podrobný plán také přiřadí definici služby Azure Policy, která vám pomůže monitorovat neomezený přístup k účtům úložiště. Monitorování těchto indikátorů vám může pomoct zajistit, aby metody vzdáleného přístupu splňovaly vaše zásady zabezpečení.

• Zobrazení výsledků auditu z virtuálních počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel
• Nasazení požadavků pro audit virtuálních počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel
• Účty úložiště by měly omezit přístup k síti
• Vzdálené ladění by mělo být pro aplikaci API vypnuté.
• Vzdálené ladění by mělo být pro aplikaci funkcí vypnuté.
• Vzdálené ladění by mělo být pro webovou aplikaci vypnuté.

1.3 a 6.4 Obsah záznamů auditu | Centralizovaná správa obsahu záznamů plánovaného auditu

Data protokolů shromážděná službou Azure Monitor jsou uložená v pracovním prostoru služby Log Analytics, který umožňuje centralizovanou konfiguraci a správu. Tento podrobný plán vám pomůže zajistit, aby se události protokolovaly přiřazením definic azure Policy , které auditují a vynucují nasazení agenta Log Analytics na virtuálních počítačích Azure.

• [Preview]: Audit nasazení agenta Log Analytics – image virtuálního počítače (operační systém) není v seznamu
• Nasazení agenta Log Analytics pro virtuální počítače s Linuxem
• Nasazení agenta Log Analytics pro virtuální počítače s Windows

2.2, 2.7 a 6.4 Reakce na selhání zpracování auditu

Tento podrobný plán přiřazuje definice Azure Policy , které monitorují konfigurace protokolování událostí a auditu. Monitorování těchto konfigurací může poskytnout indikátor selhání systému auditu nebo chybné konfigurace a pomůže vám provést nápravnou akci.

• Na vašich serverech SQL by mělo být povolené pokročilé zabezpečení dat.
• Auditování nastavení diagnostiky
• Auditování na SQL Serveru by mělo být povolené.

1.3 a 6.4 Audit Review, Analysis a Reporting | Centrální kontrola a analýza

Data protokolů shromážděná službou Azure Monitor jsou uložená v pracovním prostoru služby Log Analytics, který umožňuje centralizované generování sestav a analýzu. Tento podrobný plán vám pomůže zajistit, aby se události protokolovaly přiřazením definic azure Policy , které auditují a vynucují nasazení agenta Log Analytics na virtuálních počítačích Azure.

• [Preview]: Audit nasazení agenta Log Analytics – image virtuálního počítače (operační systém) není v seznamu
• Nasazení agenta Log Analytics pro virtuální počítače s Linuxem
• Nasazení agenta Log Analytics pro virtuální počítače s Windows

1.3, 2.2, 2.7, 6.4 a 6.5A Generování auditu

Tento podrobný plán vám pomůže zajistit protokolování systémových událostí přiřazením definic Azure Policy , které auditují nastavení protokolu u prostředků Azure. Tyto definice zásad auditují a vynucují nasazení agenta Log Analytics na virtuálních počítačích Azure a konfiguraci nastavení auditu pro jiné typy prostředků Azure. Tyto definice zásad také auditují konfiguraci diagnostických protokolů, aby poskytovaly přehled o operacích prováděných v rámci prostředků Azure. Auditování a Advanced Data Security se navíc konfigurují na sql serverech.

• Audit nasazení agenta Log Analytics – Image virtuálního počítače (operační systém) není v seznamu
• Nasazení agenta Log Analytics pro škálovací sady virtuálních počítačů s Linuxem (VMSS)
• Nasazení agenta Log Analytics pro virtuální počítače s Linuxem
• Nasazení agenta Log Analytics pro škálovací sady virtuálních počítačů s Windows (VMSS)
• Nasazení agenta Log Analytics pro virtuální počítače s Windows
• Auditování nastavení diagnostiky
• Audit nastavení auditování na úrovni SQL Serveru
• Na vašich serverech SQL by mělo být povolené pokročilé zabezpečení dat.
• Nasazení Advanced Data Security na SQL serverech
• Auditování na SQL Serveru by mělo být povolené.
• Nasazení nastavení diagnostiky pro skupiny zabezpečení sítě

1.1 Nejnižší funkčnost | Zabránit spuštění programu

Adaptivní řízení aplikací ve službě Azure Security Center je inteligentní, automatizované komplexní řešení filtrování aplikací, které může blokovat nebo zabránit spuštění konkrétního softwaru na virtuálních počítačích. Řízení aplikací může běžet v režimu vynucení, který zakazuje spuštění neschváliné aplikace. Tento podrobný plán přiřadí definici služby Azure Policy, která vám pomůže monitorovat virtuální počítače, ve kterých se doporučuje seznam povolených aplikací, ale ještě není nakonfigurovaný.

• Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací.

1.1 Nejnižší funkčnost | Autorizovaný software / výpis povolených položek

Adaptivní řízení aplikací ve službě Azure Security Center je inteligentní, automatizované komplexní řešení filtrování aplikací, které může blokovat nebo zabránit spuštění konkrétního softwaru na virtuálních počítačích. Řízení aplikací pomáhá vytvářet schválené seznamy aplikací pro vaše virtuální počítače. Tento podrobný plán přiřadí definici služby Azure Policy , která vám pomůže monitorovat virtuální počítače, ve kterých se doporučuje seznam povolených aplikací, ale ještě není nakonfigurovaný.

• Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací.

1.1 Uživatelem nainstalovaný software

Adaptivní řízení aplikací ve službě Azure Security Center je inteligentní, automatizované komplexní řešení filtrování aplikací, které může blokovat nebo zabránit spuštění konkrétního softwaru na virtuálních počítačích. Řízení aplikací vám může pomoct vynutit a monitorovat dodržování předpisů se zásadami omezení softwaru. Tento podrobný plán přiřadí definici služby Azure Policy , která vám pomůže monitorovat virtuální počítače, ve kterých se doporučuje seznam povolených aplikací, ale ještě není nakonfigurovaný.

• Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací.
• Virtuální počítače by se měly migrovat do nových prostředků Azure Resource Manageru.

4.2 Identifikace a ověřování (uživatelé organizace) | Síťový přístup k privilegovaným účtům

Tento podrobný plán vám pomůže omezit a řídit privilegovaný přístup přiřazením definic Azure Policy k auditování účtů s oprávněními vlastníka nebo zápisu, které nemají povolené vícefaktorové ověřování. Vícefaktorové ověřování pomáhá zabezpečit účty i v případě ohrožení jedné části ověřovacích informací. Monitorováním účtů bez povoleného vícefaktorového ověřování můžete identifikovat účty, u kterých může dojít k ohrožení zabezpečení.

• U účtů s oprávněními vlastníka k vašemu předplatnému by mělo být povolené vícefaktorové ověřování.
• Pro účty s oprávněními k zápisu v předplatném by se mělo povolit MFA

4.2 Identifikace a ověřování (uživatelé organizace) | Síťový přístup k neprivilegovaným účtům

Tento podrobný plán vám pomůže omezit a řídit přístup přiřazením definice služby Azure Policy k auditování účtů s oprávněními ke čtení, která nemají povolené vícefaktorové ověřování. Vícefaktorové ověřování pomáhá zabezpečit účty i v případě ohrožení jedné části ověřovacích informací. Monitorováním účtů bez povoleného vícefaktorového ověřování můžete identifikovat účty, u kterých může dojít k ohrožení zabezpečení.

• U účtů s oprávněními ke čtení ve vašem předplatném by mělo být povolené vícefaktorové ověřování.

2.3 a 4.1 Authenticator Management

Tento podrobný plán přiřazuje definice Azure Policy , které auditují virtuální počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel nebo mají nastavená nesprávná oprávnění pro soubor passwd. Tento podrobný plán také přiřazuje definice zásad, které auditují konfiguraci typu šifrování hesla pro virtuální počítače s Windows. Monitorování těchto indikátorů vám pomůže zajistit, aby ověřovací procesy systému splňovaly zásady identifikace a ověřování vaší organizace.

• Zobrazení výsledků auditu z virtuálních počítačů s Linuxem, které nemají nastavená přístupová oprávnění k souboru 0644
• Nasaďte požadavky na audit virtuálních počítačů s Linuxem, které nemají oprávnění k předávacímu souboru nastavená na 0644.
• Zobrazení výsledků auditu z virtuálních počítačů s Linuxem, které mají účty bez hesel
• Nasazení požadavků na audit virtuálních počítačů s Linuxem, které mají účty bez hesel
• Zobrazení výsledků auditu z virtuálních počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování
• Nasazení požadavků na auditování virtuálních počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování

2.3 a 4.1 Authenticator Management | Ověřování založené na heslech

Tento podrobný plán vám pomůže vynutit silná hesla přiřazením definic Azure Policy , které auditují virtuální počítače s Windows, které nevynucují minimální sílu a další požadavky na heslo. Povědomí o virtuálních počítačích v rozporu se zásadami síly hesel pomáhá provádět nápravné akce, které zajistí, že hesla pro všechny uživatelské účty virtuálních počítačů vyhovují zásadám hesel vaší organizace.

• Zobrazení výsledků auditu z virtuálních počítačů s Windows, které umožňují opakované použití předchozích 24 hesel
• Zobrazení výsledků auditu z virtuálních počítačů s Windows, které nemají maximální stáří hesla 70 dnů
• Zobrazení výsledků auditu z virtuálních počítačů s Windows, které nemají minimální stáří hesla 1 den
• Zobrazení výsledků auditu z virtuálních počítačů s Windows, které nemají povolené nastavení složitosti hesla
• Zobrazení výsledků auditu z virtuálních počítačů s Windows, které neomezují minimální délku hesla na 14 znaků
• Zobrazení výsledků auditu z virtuálních počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování
• Nasazení požadavků na audit virtuálních počítačů s Windows, které umožňují opakované použití předchozích 24 hesel
• Nasazení požadavků na audit virtuálních počítačů s Windows, které nemají maximální stáří hesla 70 dnů
• Nasazení požadavků pro audit virtuálních počítačů s Windows, které nemají minimální stáří hesla 1 den
• Nasazení požadavků pro audit virtuálních počítačů s Windows, které nemají povolené nastavení složitosti hesla
• Nasazení požadavků pro audit virtuálních počítačů s Windows, které neomezují minimální délku hesla na 14 znaků
• Nasazení požadavků pro audit virtuálních počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování

2.2 a 2.7 Kontrola ohrožení zabezpečení

Tento podrobný plán vám pomůže spravovat ohrožení zabezpečení informačního systému přiřazením definic služby Azure Policy , které monitorují ohrožení zabezpečení operačního systému, ohrožení zabezpečení SQL a ohrožení zabezpečení virtuálních počítačů ve službě Azure Security Center. Azure Security Center poskytuje možnosti vytváření sestav, které umožňují získat přehled o stavu zabezpečení nasazených prostředků Azure v reálném čase. Tento podrobný plán také přiřazuje definice zásad, které auditují a vynucují Advanced Data Security na SQL Serverech. Rozšířené zabezpečení dat zahrnovalo posouzení ohrožení zabezpečení a pokročilé možnosti ochrany před hrozbami, které vám pomůžou porozumět ohrožením zabezpečení v nasazených prostředcích.

• Na vašich serverech SQL by mělo být povolené pokročilé zabezpečení dat.
• Auditování na SQL Serveru by mělo být povolené.
• V konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měla napravit ohrožení zabezpečení.
• Měla by se napravit ohrožení zabezpečení ve vašich databázích SQL.
• V konfiguraci zabezpečení na počítačích by se měla napravit ohrožení zabezpečení.

1.3 Ochrana před dostupností služby

Úroveň Standard distribuovaného odepření služby (DDoS) Azure poskytuje další funkce a možnosti omezení rizik oproti úrovni služby Basic. Mezi tyto další funkce patří integrace služby Azure Monitor a možnost kontrolovat sestavy zmírnění rizik po útoku. Tento podrobný plán přiřadí definici služby Azure Policy , která provede audit, pokud je povolená úroveň DDoS Standard. Pochopení rozdílu schopností mezi úrovněmi služby vám může pomoct vybrat nejlepší řešení pro řešení ochrany před dostupností služby pro vaše prostředí Azure.

• Měla by být povolená služba Azure DDoS Protection.

1.1 a 6.1 Ochrana hranic

Tento podrobný plán vám pomůže spravovat a řídit hranice systému přiřazením definice služby Azure Policy , která monitoruje doporučení pro posílení zabezpečení skupin zabezpečení sítě ve službě Azure Security Center. Azure Security Center analyzuje vzorce provozu internetových virtuálních počítačů a poskytuje doporučení k pravidlům skupin zabezpečení sítě, která snižují potenciální prostor pro útoky. Kromě toho tento podrobný plán také přiřazuje definice zásad, které monitorují nechráněné koncové body, aplikace a účty úložiště. Koncové body a aplikace, které nejsou chráněné bránou firewall, a účty úložiště s neomezeným přístupem můžou umožnit nezamýšlený přístup k informacím obsaženým v informačním systému.

• Doporučení adaptivního posílení zabezpečení sítě by se měla použít na internetových virtuálních počítačích.
• Přístup přes internetový koncový bod by měl být omezený.
• Auditování neomezeného síťového přístupu k účtům úložiště

2.9A Hraniční ochrana | Přístupové body

Přístup k virtuálním počítačům za běhu (JIT) uzamkne příchozí provoz do virtuálních počítačů Azure, což snižuje riziko útoků a v případě potřeby poskytuje snadný přístup k virtuálním počítačům. Přístup k virtuálním počítačům JIT vám pomůže omezit počet externích připojení k vašim prostředkům v Azure. Tento podrobný plán přiřadí definici služby Azure Policy , která vám pomůže monitorovat virtuální počítače, které můžou podporovat přístup za běhu, ale ještě nejsou nakonfigurované.

• Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.

2.9A Hraniční ochrana | Externí telekomunikační služby

Přístup k virtuálním počítačům za běhu (JIT) uzamkne příchozí provoz do virtuálních počítačů Azure, což snižuje riziko útoků a v případě potřeby poskytuje snadný přístup k virtuálním počítačům. Přístup k virtuálním počítačům JIT pomáhá spravovat výjimky zásad toku provozu tím, že usnadňuje procesy žádosti o přístup a schválení. Tento podrobný plán přiřadí definici služby Azure Policy , která vám pomůže monitorovat virtuální počítače, které můžou podporovat přístup za běhu, ale ještě nejsou nakonfigurované.

• Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu.

2.1, 2.4, 2.4A, 2.5A a 2.6 Přenos důvěrnosti a integrity | Kryptografická nebo alternativní fyzická ochrana

Tento podrobný plán vám pomůže chránit důvěrné a integritu přenášených informací tím, že přiřazuje definice služby Azure Policy , které pomáhají monitorovat kryptografický mechanismus implementovaný pro komunikační protokoly. Zajištění správného šifrování komunikace vám může pomoct splnit požadavky vaší organizace nebo chránit informace před neoprávněným zveřejněním a úpravami.

• Aplikace API by měla být přístupná jenom přes HTTPS.
• Zobrazení výsledků auditu z webových serverů s Windows, které nepoužívají zabezpečené komunikační protokoly
• Nasazení požadavků na audit webových serverů s Windows, které nepoužívají zabezpečené komunikační protokoly
• Aplikace funkcí by měla být přístupná jenom přes HTTPS.
• Měla by se povolit jen zabezpečená připojení k Redis Cache.
• Měl by se povolit zabezpečený přenos do účtů úložiště
• Webová aplikace by měla být přístupná jen přes protokol HTTPS

2.2, 2.3, 2.5, 4.1 a 2.7 Ochrana neaktivních uložených informací | Kryptografická ochrana

Tento podrobný plán vám pomůže vynutit zásady týkající se použití ovládacích prvků kryptografických dat k ochraně neaktivních uložených informací tím, že přiřadíte definice služby Azure Policy , které vynucují konkrétní ovládací prvky kryptografie a auditují použití slabých kryptografických nastavení. Pochopení, kde vaše prostředky Azure můžou mít neoptimální kryptografické konfigurace, vám můžou pomoct provést nápravné akce, abyste zajistili, že jsou prostředky nakonfigurované v souladu s vašimi zásadami zabezpečení informací. Konkrétně definice zásad přiřazené tímto podrobným plánem vyžadují šifrování účtů Data Lake Storage; vyžadovat transparentní šifrování dat u databází SQL; a audit chybějícího šifrování databází SQL, disků virtuálních počítačů a proměnných účtu Automation.

• Na vašich serverech SQL by mělo být povolené pokročilé zabezpečení dat.
• Nasazení Advanced Data Security na SQL serverech
• Nasazení transparentního šifrování dat databáze SQL
• transparentní šifrování dat v databázích SQL by měly být povolené

1.3, 2.2 a 2.7 Náprava chyb

Tento podrobný plán vám pomůže spravovat chyby informačního systému přiřazením definic služby Azure Policy , které monitorují chybějící aktualizace systému, ohrožení zabezpečení operačního systému, ohrožení zabezpečení SQL a ohrožení zabezpečení virtuálních počítačů ve službě Azure Security Center. Azure Security Center poskytuje možnosti vytváření sestav, které umožňují získat přehled o stavu zabezpečení nasazených prostředků Azure v reálném čase. Tento podrobný plán také přiřadí definici zásad, která zajišťuje opravy operačního systému pro škálovací sady virtuálních počítačů.

• Vyžadování automatických oprav imagí operačního systému ve škálovacích sadách virtuálních počítačů
• Do škálovacích sad virtuálních počítačů by se měly nainstalovat aktualizace systému.
• Na virtuální počítače by se měly nainstalovat aktualizace systému.
• Audit nasazení agenta závislostí ve škálovacích sadách virtuálních počítačů – image virtuálního počítače (OS) není v seznamu
• Proměnné účtu Automation by měly být šifrované.
• V konfiguraci zabezpečení ve škálovacích sadách virtuálních počítačů by se měla napravit ohrožení zabezpečení.
• Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich virtuálních počítačích.
• Měla by se napravit ohrožení zabezpečení ve vašich databázích SQL.

6.1 Ochrana škodlivého kódu

Tento podrobný plán vám pomůže spravovat ochranu koncových bodů, včetně ochrany škodlivého kódu, tím, že přiřadíte definice služby Azure Policy , které monitorují chybějící ochranu koncových bodů na virtuálních počítačích ve službě Azure Security Center a vynucují antimalwarové řešení Microsoftu na virtuálních počítačích s Windows.

• Nasazení výchozího rozšíření Microsoft IaaSAntimalware pro Windows Server
• Do škálovacích sad virtuálních počítačů by se mělo nainstalovat řešení Endpoint Protection.
• Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center
• Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru.

6.1 Ochrana škodlivého kódu | Centrální správa

Tento podrobný plán vám pomůže spravovat ochranu koncových bodů, včetně ochrany škodlivého kódu, přiřazením definic azure Policy , které monitorují chybějící ochranu koncových bodů na virtuálních počítačích ve službě Azure Security Center. Azure Security Center poskytuje centralizované možnosti správy a vytváření sestav, které umožňují získat přehled o stavu zabezpečení nasazených prostředků Azure v reálném čase.

• Do škálovacích sad virtuálních počítačů by se mělo nainstalovat řešení Endpoint Protection.
• Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center

1.1, 1.3, 2.2, 2.7, 2.8 a 6.4 Monitorování informačního systému

Tento podrobný plán vám pomůže monitorovat systém auditováním a vynucováním zabezpečení protokolování a dat napříč prostředky Azure. Konkrétně zásady přiřazené auditování a vynucují nasazení agenta Log Analytics a rozšířené nastavení zabezpečení pro databáze SQL, účty úložiště a síťové prostředky. Tyto funkce vám můžou pomoct odhalit neobvyklé chování a indikátory útoků, abyste mohli provést odpovídající akce.

• Zobrazení výsledků auditu z virtuálních počítačů s Windows, na kterých není agent Log Analytics připojený podle očekávání
• Nasazení agenta Log Analytics pro škálovací sady virtuálních počítačů s Linuxem (VMSS)
• Nasazení agenta Log Analytics pro virtuální počítače s Linuxem
• Nasazení agenta Log Analytics pro škálovací sady virtuálních počítačů s Windows (VMSS)
• Nasazení agenta Log Analytics pro virtuální počítače s Windows
• Na vašich serverech SQL by mělo být povolené pokročilé zabezpečení dat.
• Rozšířená nastavení zabezpečení dat pro SQL Server by měla obsahovat e-mailovou adresu pro příjem výstrah zabezpečení.
• Měly by se povolit diagnostické protokoly v Azure Stream Analytics
• Nasazení Advanced Data Security na SQL serverech
• Nasazení auditování na sql serverech
• Nasazení služby Network Watcher při vytváření virtuálních sítí
• Nasazení detekce hrozeb na sql serverech

2.2 a 2.8 Monitorování informačního systému | Analýza provozu / překryvné exfiltrace

Advanced Threat Protection pro Azure Storage detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům úložiště nebo jejich zneužití. Výstrahy ochrany zahrnují neobvyklé vzory přístupu, neobvyklé extrakce/nahrávání a podezřelou aktivitu úložiště. Tyto indikátory vám můžou pomoct odhalit skrytou exfiltraci informací.

• Nasazení detekce hrozeb na sql serverech

Poznámka:

Dostupnost konkrétních definic Azure Policy se může lišit v Azure Government a dalších národních cloudech.

Další kroky

Teď, když jste se seznámili s mapováním kontrol podrobného plánu SWIFT CSP-CSCF v2020, najdete v následujících článcích informace o podrobném plánu a postupu nasazení této ukázky:

Podrobný plán SWIFT CSP-CSCF v2020 – Přehledpodrobného plánu SWIFT CSP-CSCF v2020 – Kroky nasazení

Další články věnované podrobným plánům a postupu jejich využití:

• Další informace o životním cyklu podrobného plánu
• Principy použití statických a dynamických parametrů
• Další informace o přizpůsobení pořadí podrobných plánů
• Použití zamykání prostředků podrobného plánu
• Další informace o aktualizaci existujících přiřazení