Sdílet prostřednictvím


Podrobnosti o srovnávacím testu CIS Microsoft Azure Foundations 2.0.0 Dodržování právních předpisů integrovanou iniciativou

Následující článek podrobně popisuje, jak se předdefinovaná definice iniciativy dodržování předpisů Azure Policy mapuje na domény dodržování předpisů a kontroly v srovnávacím testu CIS Microsoft Azure Foundations 2.0.0. Další informace o tomto standardu dodržování předpisů naleznete v tématu CIS Microsoft Azure Foundations Benchmark 2.0.0. Pokud chcete porozumět vlastnictví, projděte si typ zásad a sdílenou odpovědnost v cloudu.

Následující mapování jsou na ovládací prvky srovnávacího testu CIS Microsoft Azure Foundations 2.0.0 . Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy . Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásady na webu Azure Portal a vyberte stránku Definice . Pak vyhledejte a vyberte předdefinované definici iniciativy CIS Microsoft Azure Foundations Benchmark v2.0.0 .

Důležité

Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné definice zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi služby Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.

1,1

Ujistěte se, že je ve službě Azure Active Directory povolené výchozí nastavení zabezpečení.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.1.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přijetí biometrických mechanismů ověřování CMA_0005 – přijetí biometrických mechanismů ověřování Ručně, zakázáno 1.1.0
Ověřování v kryptografickém modulu CMA_0021 – Ověřování v kryptografickém modulu Ručně, zakázáno 1.1.0
Autorizace vzdáleného přístupu CMA_0024 – Autorizace vzdáleného přístupu Ručně, zakázáno 1.1.0
Školení k dokumentování mobility CMA_0191 – Školení k dokumentování mobility Ručně, zakázáno 1.1.0
Zdokumentovat pokyny pro vzdálený přístup CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup Ručně, zakázáno 1.1.0
Identifikace a ověřování síťových zařízení CMA_0296 – Identifikace a ověřování síťových zařízení Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit Ručně, zakázáno 1.1.0
Poskytnutí školení k ochraně osobních údajů CMA_0415 – poskytování školení k ochraně osobních údajů Ručně, zakázáno 1.1.0
Splnění požadavků na kvalitu tokenu CMA_0487 – Splnění požadavků na kvalitu tokenu Ručně, zakázáno 1.1.0

Ujistěte se, že stav vícefaktorového ověřování je povolený pro všechny privilegované uživatele.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.1.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Přijetí biometrických mechanismů ověřování CMA_0005 – přijetí biometrických mechanismů ověřování Ručně, zakázáno 1.1.0

Ujistěte se, že stav vícefaktorového ověřování je povolený pro všechny neprivilegované uživatele.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.1.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Přijetí biometrických mechanismů ověřování CMA_0005 – přijetí biometrických mechanismů ověřování Ručně, zakázáno 1.1.0

Ujistěte se, že možnost Povolit uživatelům pamatovat si vícefaktorové ověřování na zařízeních, která důvěřují, je zakázaná.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.1.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přijetí biometrických mechanismů ověřování CMA_0005 – přijetí biometrických mechanismů ověřování Ručně, zakázáno 1.1.0
Identifikace a ověřování síťových zařízení CMA_0296 – Identifikace a ověřování síťových zařízení Ručně, zakázáno 1.1.0
Splnění požadavků na kvalitu tokenu CMA_0487 – Splnění požadavků na kvalitu tokenu Ručně, zakázáno 1.1.0

0

Ujistěte se, že "Upozornit všechny správce, když ostatní správci resetují heslo?". je nastavená na Ano.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.10 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Automatizace správy účtů CMA_0026 – Automatizace správy účtů Ručně, zakázáno 1.1.0
Implementace trénování pro ochranu ověřovacích modulů CMA_0329 – Implementace trénování pro ochranu ověřovacích metod Ručně, zakázáno 1.1.0
Správa účtů systému a správců CMA_0368 – Správa účtů systému a správců Ručně, zakázáno 1.1.0
Monitorování přístupu v celé organizaci CMA_0376 – Monitorování přístupu v celé organizaci Ručně, zakázáno 1.1.0
Monitorování přiřazení privilegovaných rolí CMA_0378 – Monitorování přiřazení privilegovaných rolí Ručně, zakázáno 1.1.0
Upozornit, když účet není potřeba CMA_0383 – Upozornit, když účet není potřeba Ručně, zakázáno 1.1.0
Omezení přístupu k privilegovaným účtům CMA_0446 – Omezení přístupu k privilegovaným účtům Ručně, zakázáno 1.1.0
Odvolání privilegovaných rolí podle potřeby CMA_0483 – Odvolání privilegovaných rolí podle potřeby Ručně, zakázáno 1.1.0
Použití správy privilegovaných identit CMA_0533 – Použití správy privilegovaných identit Ručně, zakázáno 1.1.0

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.11 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.13 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0

Ujistěte se, že možnost Uživatelé mohou registrovat aplikace nastavená na Ne.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.14 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0

Ujistěte se, že je omezení přístupu uživatelů typu host nastavená na Přístup uživatele typu host pouze na vlastnosti a členství vlastních objektů adresáře.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.15 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Návrh modelu řízení přístupu CMA_0129 – Návrh modelu řízení přístupu Ručně, zakázáno 1.1.0
Využití přístupu s nejnižšími oprávněními CMA_0212 – Využití přístupu s nejnižšími oprávněními Ručně, zakázáno 1.1.0
Vynucení logického přístupu CMA_0245 – vynucení logického přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0
Vyžadovat schválení pro vytvoření účtu CMA_0431 – Vyžadování schválení pro vytvoření účtu Ručně, zakázáno 1.1.0
Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům Ručně, zakázáno 1.1.0

Ujistěte se, že je možnost Omezení pozvání hosta nastavená na Možnost Pozvat uživatele typu host pouze uživatelé přiřazení ke konkrétním rolím správce.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.16 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Návrh modelu řízení přístupu CMA_0129 – Návrh modelu řízení přístupu Ručně, zakázáno 1.1.0
Využití přístupu s nejnižšími oprávněními CMA_0212 – Využití přístupu s nejnižšími oprávněními Ručně, zakázáno 1.1.0
Vynucení logického přístupu CMA_0245 – vynucení logického přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0
Vyžadovat schválení pro vytvoření účtu CMA_0431 – Vyžadování schválení pro vytvoření účtu Ručně, zakázáno 1.1.0
Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům Ručně, zakázáno 1.1.0

Ujistěte se, že možnost Omezit přístup k portálu pro správu Azure AD je nastavená na Ano.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.17 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Vynucení logického přístupu CMA_0245 – vynucení logického přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0
Vyžadovat schválení pro vytvoření účtu CMA_0431 – Vyžadování schválení pro vytvoření účtu Ručně, zakázáno 1.1.0
Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům Ručně, zakázáno 1.1.0

Ujistěte se, že možnost Omezit uživatelskou schopnost přistupovat k funkcím skupin v podokně Přístupu je nastavená na Ano.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.18 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0
Vytvoření a řízení změn dokumentů CMA_0265 – vytvoření a řízení změn dokumentů Ručně, zakázáno 1.1.0

Ujistěte se, že možnost Uživatelé můžou vytvářet skupiny zabezpečení na portálech Azure Portal, rozhraní API nebo PowerShellu na hodnotu Ne.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.19 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0
Vytvoření a řízení změn dokumentů CMA_0265 – vytvoření a řízení změn dokumentů Ručně, zakázáno 1.1.0

Ujistěte se, že možnost Vlastníci můžou spravovat žádosti o členství ve skupinách v Přístupový panel nastavená na Ne.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.20 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0
Vytvoření a řízení změn dokumentů CMA_0265 – vytvoření a řízení změn dokumentů Ručně, zakázáno 1.1.0

Ujistěte se, že možnost Uživatelé můžou vytvářet skupiny Microsoft 365 na portálech Azure Portal, rozhraní API nebo PowerShellu na hodnotu Ne.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.21 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0
Vytvoření a řízení změn dokumentů CMA_0265 – vytvoření a řízení změn dokumentů Ručně, zakázáno 1.1.0

Ujistěte se, že možnost Vyžadovat vícefaktorové ověřování k registraci nebo připojení zařízení v Azure AD je nastavená na Ano.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.22 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přijetí biometrických mechanismů ověřování CMA_0005 – přijetí biometrických mechanismů ověřování Ručně, zakázáno 1.1.0
Autorizace vzdáleného přístupu CMA_0024 – Autorizace vzdáleného přístupu Ručně, zakázáno 1.1.0
Školení k dokumentování mobility CMA_0191 – Školení k dokumentování mobility Ručně, zakázáno 1.1.0
Zdokumentovat pokyny pro vzdálený přístup CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup Ručně, zakázáno 1.1.0
Identifikace a ověřování síťových zařízení CMA_0296 – Identifikace a ověřování síťových zařízení Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit Ručně, zakázáno 1.1.0
Poskytnutí školení k ochraně osobních údajů CMA_0415 – poskytování školení k ochraně osobních údajů Ručně, zakázáno 1.1.0
Splnění požadavků na kvalitu tokenu CMA_0487 – Splnění požadavků na kvalitu tokenu Ručně, zakázáno 1.1.0

Ujistěte se, že neexistují žádné vlastní role správce předplatného.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.23 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Auditování využití vlastních rolí RBAC Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. Audit, zakázáno 1.0.1
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Návrh modelu řízení přístupu CMA_0129 – Návrh modelu řízení přístupu Ručně, zakázáno 1.1.0
Využití přístupu s nejnižšími oprávněními CMA_0212 – Využití přístupu s nejnižšími oprávněními Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0
Vytvoření a řízení změn dokumentů CMA_0265 – vytvoření a řízení změn dokumentů Ručně, zakázáno 1.1.0

Ujistěte se, že má vlastní role přiřazená oprávnění ke správě zámků prostředků.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.24 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0
Vytvoření a řízení změn dokumentů CMA_0265 – vytvoření a řízení změn dokumentů Ručně, zakázáno 1.1.0

Pravidelná kontrola uživatelů typu host

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Podle potřeby znovu přiřaďte nebo odeberte uživatelská oprávnění. CMA_C1040 – podle potřeby znovu přiřadit nebo odebrat uživatelská oprávnění Ručně, zakázáno 1.1.0
Kontrola protokolů zřizování účtů CMA_0460 – Kontrola protokolů zřizování účtů Ručně, zakázáno 1.1.0
Kontrola uživatelských účtů CMA_0480 – Kontrola uživatelských účtů Ručně, zakázáno 1.1.0
Kontrola uživatelských oprávnění CMA_C1039 – Kontrola uživatelských oprávnění Ručně, zakázáno 1.1.0

Ujistěte se, že počet dní před zobrazením výzvy k opětovnému potvrzení ověřovacích údajů není nastaven na hodnotu 0.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Automatizace správy účtů CMA_0026 – Automatizace správy účtů Ručně, zakázáno 1.1.0
Správa účtů systému a správců CMA_0368 – Správa účtů systému a správců Ručně, zakázáno 1.1.0
Monitorování přístupu v celé organizaci CMA_0376 – Monitorování přístupu v celé organizaci Ručně, zakázáno 1.1.0
Upozornit, když účet není potřeba CMA_0383 – Upozornit, když účet není potřeba Ručně, zakázáno 1.1.0

Ujistěte se, že "upozornit uživatele na resetování hesel?". je nastavená na Ano.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.9 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Automatizace správy účtů CMA_0026 – Automatizace správy účtů Ručně, zakázáno 1.1.0
Implementace trénování pro ochranu ověřovacích modulů CMA_0329 – Implementace trénování pro ochranu ověřovacích metod Ručně, zakázáno 1.1.0
Správa účtů systému a správců CMA_0368 – Správa účtů systému a správců Ručně, zakázáno 1.1.0
Monitorování přístupu v celé organizaci CMA_0376 – Monitorování přístupu v celé organizaci Ručně, zakázáno 1.1.0
Upozornit, když účet není potřeba CMA_0383 – Upozornit, když účet není potřeba Ručně, zakázáno 1.1.0

10

Ujistěte se, že jsou zámky prostředků nastavené pro klíčové prostředky Azure.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 10.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření a řízení změn dokumentů CMA_0265 – vytvoření a řízení změn dokumentů Ručně, zakázáno 1.1.0

2.1

Ujistěte se, že je v programu Microsoft Defender pro servery nastavená možnost Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Zjištění síťových služeb, které nebyly autorizované nebo schválené CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Týdenní kontrola stavu ochrany před hrozbami CMA_0479 – týdenní kontrola stavu ochrany před hrozbami Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0

Ujistěte se, že je v programu Microsoft Defender for Key Vault nastavená možnost Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.10 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Služba Azure Defender for Key Vault by měla být povolená. Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Zjištění síťových služeb, které nebyly autorizované nebo schválené CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Týdenní kontrola stavu ochrany před hrozbami CMA_0479 – týdenní kontrola stavu ochrany před hrozbami Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0

Ujistěte se, že je v programu Microsoft Defender for DNS nastavená možnost Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.11 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Zastaralé]: Azure Defender pro DNS by měl být povolený. Tato definice zásady už není doporučeným způsobem, jak dosáhnout svého záměru, protože sada DNS je zastaralá. Místo pokračování v používání této zásady doporučujeme přiřadit tuto náhradní zásadu s ID zásady 4da35fc9-c9e7-4960-aec9-797fe7d9051d. Další informace o vyřazení definice zásad na aka.ms/policydefdeprecation AuditIfNotExists, zakázáno 1.1.0 zastaralé

Ujistěte se, že je Microsoft Defender pro Resource Manager nastavený na Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.12 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Azure Defender for Resource Manager by měl být povolený. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0

Ujistěte se, že stav Použít aktualizace systému v programu Microsoft Defender je Dokončeno.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.13 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Počítače by měly být nakonfigurované tak, aby pravidelně kontrolovaly chybějící aktualizace systému. Aby se zajistilo, že se pravidelná hodnocení chybějících aktualizací systému aktivují automaticky každých 24 hodin, měla by být vlastnost AssessmentMode nastavená na AutomaticByPlatform. Další informace o vlastnosti AssessmentMode pro Windows: https://aka.ms/computevm-windowspatchassessmentmode, pro Linux: https://aka.ms/computevm-linuxpatchassessmentmode. Audit, Odepřít, Zakázáno 3.7.0

Ujistěte se, že některá z výchozích nastavení zásad ASC není nastavená na Zakázáno.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.14 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Konfigurace akcí pro zařízení nedodržující předpisy CMA_0062 – Konfigurace akcí pro zařízení nedodržující předpisy Ručně, zakázáno 1.1.0
Vývoj a údržba standardních konfigurací CMA_0153 – Vývoj a údržba standardních konfigurací Ručně, zakázáno 1.1.0
Vynucení nastavení konfigurace zabezpečení CMA_0249 – Vynucení nastavení konfigurace zabezpečení Ručně, zakázáno 1.1.0
Vytvoření řídicí desky konfigurace CMA_0254 – Vytvoření řídicí desky konfigurace Ručně, zakázáno 1.1.0
Vytvoření a zdokumentování plánu správy konfigurace CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace Ručně, zakázáno 1.1.0
Implementace automatizovaného nástroje pro správu konfigurace CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace Ručně, zakázáno 1.1.0

Ujistěte se, že automatické zřizování agenta Log Analytics pro virtuální počítače Azure je nastavené na Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.15 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentovat operace zabezpečení CMA_0202 – Zdokumentovat operace zabezpečení Ručně, zakázáno 1.1.0
Zapnutí senzorů pro řešení zabezpečení koncových bodů CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů Ručně, zakázáno 1.1.0

Ujistěte se, že automatické zřizování komponent Microsoft Defender for Containers je nastavené na Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.17 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Zjištění síťových služeb, které nebyly autorizované nebo schválené CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Týdenní kontrola stavu ochrany před hrozbami CMA_0479 – týdenní kontrola stavu ochrany před hrozbami Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0

Ujistěte se, že je u e-mailu kontaktu zabezpečení nakonfigurovaná další e-mailová adresa.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.19 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. AuditIfNotExists, zakázáno 1.0.1

Ujistěte se, že je v programu Microsoft Defender for App Services nastavená možnost Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Služba Azure Defender for App Service by měla být povolená. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, zakázáno 1.0.3
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Zjištění síťových služeb, které nebyly autorizované nebo schválené CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Týdenní kontrola stavu ochrany před hrozbami CMA_0479 – týdenní kontrola stavu ochrany před hrozbami Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0

Ujistěte se, že upozornění na výstrahy s následující závažností je nastaveno na hodnotu Vysoká.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.20 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 1.2.0

Ujistěte se, že je vybraná integrace Microsoft Defenderu for Cloud Apps s programem Microsoft Defender for Cloud.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.21 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Zjištění síťových služeb, které nebyly autorizované nebo schválené CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Týdenní kontrola stavu ochrany před hrozbami CMA_0479 – týdenní kontrola stavu ochrany před hrozbami Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0

Ujistěte se, že je vybraná integrace Microsoft Defenderu for Endpoint s Microsoft Defenderem pro cloud.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.22 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Zjištění síťových služeb, které nebyly autorizované nebo schválené CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Týdenní kontrola stavu ochrany před hrozbami CMA_0479 – týdenní kontrola stavu ochrany před hrozbami Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0

Ujistěte se, že je v programu Microsoft Defender pro databáze nastavená možnost Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro opensourcové relační databáze by měl být povolený. Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, zakázáno 1.0.0
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Měla by být povolená služba Microsoft Defender pro službu Azure Cosmos DB. Microsoft Defender pro Azure Cosmos DB je nativní vrstva zabezpečení Azure, která zjišťuje pokusy o zneužití databází v účtech Azure Cosmos DB. Defender for Azure Cosmos DB detekuje potenciální injektáže SQL, známé špatné aktéry na základě analýzy hrozeb Microsoftu, vzorů podezřelého přístupu a potenciálního zneužití vaší databáze prostřednictvím ohrožených identit nebo škodlivých účastníků programu Insider. AuditIfNotExists, zakázáno 1.0.0

Ujistěte se, že je v programu Microsoft Defender for Azure SQL Database nastavená možnost Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Zjištění síťových služeb, které nebyly autorizované nebo schválené CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Týdenní kontrola stavu ochrany před hrozbami CMA_0479 – týdenní kontrola stavu ochrany před hrozbami Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0

Ujistěte se, že je v programu Microsoft Defender pro SQL Servery na počítačích nastavená možnost Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Zjištění síťových služeb, které nebyly autorizované nebo schválené CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Týdenní kontrola stavu ochrany před hrozbami CMA_0479 – týdenní kontrola stavu ochrany před hrozbami Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0

Ujistěte se, že je v programu Microsoft Defender pro opensourcové relační databáze nastavená možnost Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Azure Defender pro opensourcové relační databáze by měl být povolený. Azure Defender pro opensourcové relační databáze detekuje neobvyklé aktivity označující neobvyklé a potenciálně škodlivé pokusy o přístup k databázím nebo jejich zneužití. Přečtěte si další informace o možnostech Azure Defenderu pro opensourcové relační databáze na adrese https://aka.ms/AzDforOpenSourceDBsDocu. Důležité: Povolením tohoto plánu se budou účtovat poplatky za ochranu opensourcových relačních databází. Další informace o cenách na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center AuditIfNotExists, zakázáno 1.0.0

Ujistěte se, že je v programu Microsoft Defender for Storage nastavená možnost Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Zjištění síťových služeb, které nebyly autorizované nebo schválené CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Měl by být povolený Microsoft Defender pro úložiště. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, zakázáno 1.0.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Týdenní kontrola stavu ochrany před hrozbami CMA_0479 – týdenní kontrola stavu ochrany před hrozbami Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0

Ujistěte se, že je v programu Microsoft Defender for Containers nastavená možnost Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Zjištění síťových služeb, které nebyly autorizované nebo schválené CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Týdenní kontrola stavu ochrany před hrozbami CMA_0479 – týdenní kontrola stavu ochrany před hrozbami Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0

Ujistěte se, že je v programu Microsoft Defender pro Azure Cosmos DB nastavená možnost Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1.9 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Měla by být povolená služba Microsoft Defender pro službu Azure Cosmos DB. Microsoft Defender pro Azure Cosmos DB je nativní vrstva zabezpečení Azure, která zjišťuje pokusy o zneužití databází v účtech Azure Cosmos DB. Defender for Azure Cosmos DB detekuje potenciální injektáže SQL, známé špatné aktéry na základě analýzy hrozeb Microsoftu, vzorů podezřelého přístupu a potenciálního zneužití vaší databáze prostřednictvím ohrožených identit nebo škodlivých účastníků programu Insider. AuditIfNotExists, zakázáno 1.0.0

3

Ujistěte se, že je vyžadován zabezpečený přenos nastavený na Povoleno.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů Ručně, zakázáno 1.1.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana hesel pomocí šifrování CMA_0408 – Ochrana hesel pomocí šifrování Ručně, zakázáno 1.1.0
Zabezpečený přenos do účtů úložiště by měl být povolený. Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. Audit, Odepřít, Zakázáno 2.0.0

Ujistěte se, že se privátní koncové body používají pro přístup k účtům úložiště.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.10 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Účty úložiště by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, zakázáno 2.0.0

Ujistěte se, že úložiště pro kritická data jsou šifrovaná pomocí klíčů spravovaných zákazníkem.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.12 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření postupu správy úniku dat CMA_0255 – Vytvoření postupu správy úniku dat Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana speciálních informací CMA_0409 – Ochrana speciálních informací Ručně, zakázáno 1.1.0
Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem. Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. Audit, zakázáno 1.0.3

Ujistěte se, že pro službu Blob Service je povolené protokolování úložiště pro požadavky na čtení, zápis a odstranění.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.13 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Konfigurace možností auditu Azure CMA_C1108 – Konfigurace možností auditu Azure Ručně, zakázáno 1.1.1
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0

Ujistěte se, že pro službu Table Service je povolené protokolování úložiště pro žádosti o čtení, zápis a odstranění.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.14 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Konfigurace možností auditu Azure CMA_C1108 – Konfigurace možností auditu Azure Ručně, zakázáno 1.1.1
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0

Ujistěte se, že je minimální verze protokolu TLS pro účty úložiště nastavená na verzi 1.2.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.15 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů Ručně, zakázáno 1.1.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana hesel pomocí šifrování CMA_0408 – Ochrana hesel pomocí šifrování Ručně, zakázáno 1.1.0
Účty úložiště by měly mít zadanou minimální verzi protokolu TLS. Nakonfigurujte minimální verzi protokolu TLS pro zabezpečenou komunikaci mezi klientskou aplikací a účtem úložiště. Aby se minimalizovalo riziko zabezpečení, doporučená minimální verze protokolu TLS je nejnovější vydaná verze, což je aktuálně TLS 1.2. Audit, Odepřít, Zakázáno 1.0.0

Ujistěte se, že možnost Povolit šifrování infrastruktury pro každý účet úložiště v Azure Storage je nastavená na povoleno.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Účty úložiště by měly mít šifrování infrastruktury. Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát. Audit, Odepřít, Zakázáno 1.0.0

Ujistěte se, že se přístupové klíče účtu úložiště pravidelně znovu vygenerují.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování procesu správy fyzických klíčů CMA_0115 – Definování procesu správy fyzických klíčů Ručně, zakázáno 1.1.0
Definování kryptografického použití CMA_0120 – Definování kryptografického použití Ručně, zakázáno 1.1.0
Definování požadavků organizace na správu kryptografických klíčů CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů Ručně, zakázáno 1.1.0
Určení požadavků na kontrolní výraz CMA_0136 – Určení požadavků na kontrolní výraz Ručně, zakázáno 1.1.0
Vystavení certifikátů veřejného klíče CMA_0347 – Vydávání certifikátů veřejného klíče Ručně, zakázáno 1.1.0
Správa symetrických kryptografických klíčů CMA_0367 – Správa symetrických kryptografických klíčů Ručně, zakázáno 1.1.0
Omezení přístupu k privátním klíčům CMA_0445 – Omezení přístupu k privátním klíčům Ručně, zakázáno 1.1.0

Ujistěte se, že pro službu Queue Service je povolené protokolování úložiště pro požadavky na čtení, zápis a odstranění.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Konfigurace možností auditu Azure CMA_C1108 – Konfigurace možností auditu Azure Ručně, zakázáno 1.1.1
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0

Ujistěte se, že platnost tokenů sdíleného přístupového podpisu vyprší do hodiny.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zakázání ověřovacích modulů po ukončení CMA_0169 – Zakázání ověřovacích modulů po ukončení Ručně, zakázáno 1.1.0
Odvolání privilegovaných rolí podle potřeby CMA_0483 – Odvolání privilegovaných rolí podle potřeby Ručně, zakázáno 1.1.0
Automatické ukončení uživatelské relace CMA_C1054 – Ukončení uživatelské relace automaticky Ručně, zakázáno 1.1.0

Ujistěte se, že je pro účty úložiště s kontejnery objektů blob zakázaná úroveň veřejného přístupu.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 3.1.0-preview
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Vynucení logického přístupu CMA_0245 – vynucení logického přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0
Vyžadovat schválení pro vytvoření účtu CMA_0431 – Vyžadování schválení pro vytvoření účtu Ručně, zakázáno 1.1.0
Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům Ručně, zakázáno 1.1.0

Ujistěte se, že výchozí pravidlo přístupu k síti pro účty úložiště je nastavené na Odepření.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Účty úložiště by měly omezit přístup k síti Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. Audit, Odepřít, Zakázáno 1.1.1
Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. Audit, Odepřít, Zakázáno 1.0.1

Ujistěte se, že možnost Povolit službám Azure v seznamu důvěryhodných služeb přístup k tomuto účtu úložiště je povolená pro přístup k účtu úložiště.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.9 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Tok informací o řízení CMA_0079 – tok informací o řízení Ručně, zakázáno 1.1.0
Použití mechanismů řízení toku zašifrovaných informací CMA_0211 – využití mechanismů řízení toku zašifrovaných informací Ručně, zakázáno 1.1.0
Vytvoření standardů konfigurace brány firewall a směrovače CMA_0272 – Vytvoření standardů konfigurace brány firewall a směrovače Ručně, zakázáno 1.1.0
Vytvoření segmentace sítě pro datové prostředí držitelů karet CMA_0273 – Vytvoření segmentace sítě pro datové prostředí držitelů karet Ručně, zakázáno 1.1.0
Identifikace a správa výměn podřízených informací CMA_0298 – Identifikace a správa výměn informací v podřízených Ručně, zakázáno 1.1.0
Účty úložiště by měly umožňovat přístup z důvěryhodných služby Microsoft Některé služby Microsoft, které komunikují s účty úložiště, fungují ze sítí, u kterých není možné udělit přístup prostřednictvím pravidel sítě. Pokud chcete tomuto typu služby pomoct, povolte sadě důvěryhodných služby Microsoft obejít pravidla sítě. Tyto služby pak budou pro přístup k účtu úložiště používat silné ověřování. Audit, Odepřít, Zakázáno 1.0.0

4.1

Ujistěte se, že je auditování nastavené na Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.1.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Auditování na SQL Serveru by mělo být povolené. Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. AuditIfNotExists, zakázáno 2.0.0
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0

Ujistěte se, že žádné služby Azure SQL Database nepovolují příchozí přenos dat z 0.0.0.0/0 (JAKÁKOLI IP adresa).

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.1.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Tok informací o řízení CMA_0079 – tok informací o řízení Ručně, zakázáno 1.1.0
Použití mechanismů řízení toku zašifrovaných informací CMA_0211 – využití mechanismů řízení toku zašifrovaných informací Ručně, zakázáno 1.1.0
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. Audit, Odepřít, Zakázáno 1.1.0

Ujistěte se, že ochrana transparentní šifrování dat (TDE) SQL Serveru je šifrovaná pomocí klíče spravovaného zákazníkem.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.1.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření postupu správy úniku dat CMA_0255 – Vytvoření postupu správy úniku dat Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana speciálních informací CMA_0409 – Ochrana speciálních informací Ručně, zakázáno 1.1.0
Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. Audit, Odepřít, Zakázáno 2.0.0
Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. Audit, Odepřít, Zakázáno 2.0.1

Ujistěte se, že je pro SQL Servery nakonfigurovaný správce Azure Active Directory.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.1.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Správce Azure Active Directory by měl být zřízený pro sql servery. Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft AuditIfNotExists, zakázáno 1.0.0
Automatizace správy účtů CMA_0026 – Automatizace správy účtů Ručně, zakázáno 1.1.0
Správa účtů systému a správců CMA_0368 – Správa účtů systému a správců Ručně, zakázáno 1.1.0
Monitorování přístupu v celé organizaci CMA_0376 – Monitorování přístupu v celé organizaci Ručně, zakázáno 1.1.0
Upozornit, když účet není potřeba CMA_0383 – Upozornit, když účet není potřeba Ručně, zakázáno 1.1.0

Ujistěte se, že je šifrování dat nastavené na Zapnuto ve službě SQL Database.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.1.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření postupu správy úniku dat CMA_0255 – Vytvoření postupu správy úniku dat Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana speciálních informací CMA_0409 – Ochrana speciálních informací Ručně, zakázáno 1.1.0
transparentní šifrování dat v databázích SQL by měly být povolené Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. AuditIfNotExists, zakázáno 2.0.0

Ujistěte se, že uchovávání auditování je větší než 90 dnů.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.1.6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Dodržování definovaných období uchovávání CMA_0004 – dodržování definovaných období uchovávání Ručně, zakázáno 1.1.0
Řízení a monitorování aktivit zpracování auditu CMA_0289 – Řízení a monitorování aktivit zpracování auditu Ručně, zakázáno 1.1.0
Zachování zásad a postupů zabezpečení CMA_0454 – Zachování zásad a postupů zabezpečení Ručně, zakázáno 1.1.0
Zachování ukončených uživatelských dat CMA_0455 – Zachování ukončených uživatelských dat Ručně, zakázáno 1.1.0
SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Serveru na cíl účtu úložiště na nejméně 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů. AuditIfNotExists, zakázáno 3.0.0

4.2

Ujistěte se, že je pro důležité SQL servery nastavená možnost Zapnuto v programu Microsoft Defender for SQL.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.2.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0

Nastavením účtu úložiště se ujistěte, že je na SQL Serveru povolené posouzení ohrožení zabezpečení (VA).

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.2.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0
Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 1.0.1
Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 3.0.0

Ujistěte se, že nastavení posouzení ohrožení zabezpečení (VA) pro každý SQL server je nastavené na zapnuté pravidelné opakované kontroly.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.2.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0
Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 1.0.1

Ujistěte se, že je pro SQL Server nakonfigurované nastavení Posouzení ohrožení zabezpečení (VA) Odeslat sestavy kontroly.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.2.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Korelace informací o kontrole ohrožení zabezpečení CMA_C1558 – Korelace informací o kontrole ohrožení zabezpečení Ručně, zakázáno 1.1.1
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0
Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 3.0.0

Ujistěte se, že je pro každý SQL Server nastavené nastavení Posouzení ohrožení zabezpečení (VA) Odesílat e-mailová oznámení také správcům a vlastníkům předplatného.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.2.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Korelace informací o kontrole ohrožení zabezpečení CMA_C1558 – Korelace informací o kontrole ohrožení zabezpečení Ručně, zakázáno 1.1.1
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0
Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 4.1.0
Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 3.0.0

4.3

Ujistěte se, že je pro databázový server PostgreSQL nastavená možnost Vynutit připojení SSL na POVOLENO.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů Ručně, zakázáno 1.1.0
U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana hesel pomocí šifrování CMA_0408 – Ochrana hesel pomocí šifrování Ručně, zakázáno 1.1.0

Ujistěte se, že je parametr serveru log_checkpoints nastavený na ON pro databázový server PostgreSQL.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0
Pro databázové servery PostgreSQL by měly být povolené kontrolní body protokolů. Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_checkpoints nastavení. AuditIfNotExists, zakázáno 1.0.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0

Ujistěte se, že je parametr serveru log_connections nastavený na ON pro databázový server PostgreSQL.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0
Pro databázové servery PostgreSQL by měla být povolená připojení protokolů. Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_connections nastavení. AuditIfNotExists, zakázáno 1.0.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0

Ujistěte se, že parametr serveru log_disconnections je pro databázový server PostgreSQL nastavený na ZAPNUTO.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0
Pro databázové servery PostgreSQL by se měly protokolovat odpojení. Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_disconnections. AuditIfNotExists, zakázáno 1.0.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0

Ujistěte se, že je parametr serveru connection_throttling nastavený na ON pro databázový server PostgreSQL.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Pro databázové servery PostgreSQL by se mělo povolit omezování připojení. Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povoleného omezování připojení. Toto nastavení umožňuje dočasné omezování připojení na IP adresu pro příliš mnoho neplatných selhání přihlášení pomocí hesla. AuditIfNotExists, zakázáno 1.0.0
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0

Ujistěte se, že parametr serveru log_retention_days je pro databázový server PostgreSQL delší než 3 dny.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3.6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Dodržování definovaných období uchovávání CMA_0004 – dodržování definovaných období uchovávání Ručně, zakázáno 1.1.0
Řízení a monitorování aktivit zpracování auditu CMA_0289 – Řízení a monitorování aktivit zpracování auditu Ručně, zakázáno 1.1.0
Zachování zásad a postupů zabezpečení CMA_0454 – Zachování zásad a postupů zabezpečení Ručně, zakázáno 1.1.0
Zachování ukončených uživatelských dat CMA_0455 – Zachování ukončených uživatelských dat Ručně, zakázáno 1.1.0

Ujistěte se, že je zakázaný přístup ke službám Azure pro databázový server PostgreSQL.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3.7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Tok informací o řízení CMA_0079 – tok informací o řízení Ručně, zakázáno 1.1.0
Použití mechanismů řízení toku zašifrovaných informací CMA_0211 – využití mechanismů řízení toku zašifrovaných informací Ručně, zakázáno 1.1.0
Vytvoření standardů konfigurace brány firewall a směrovače CMA_0272 – Vytvoření standardů konfigurace brány firewall a směrovače Ručně, zakázáno 1.1.0
Vytvoření segmentace sítě pro datové prostředí držitelů karet CMA_0273 – Vytvoření segmentace sítě pro datové prostředí držitelů karet Ručně, zakázáno 1.1.0
Identifikace a správa výměn podřízených informací CMA_0298 – Identifikace a správa výměn informací v podřízených Ručně, zakázáno 1.1.0
Pro flexibilní servery PostgreSQL by měl být zakázaný přístup k veřejné síti. Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby flexibilní servery Azure Database for PostgreSQL byly přístupné jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odepře všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP. Audit, Odepřít, Zakázáno 3.1.0
Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.1

Ujistěte se, že je pro databázový server PostgreSQL povolené dvojité šifrování infrastruktury.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3.8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření postupu správy úniku dat CMA_0255 – Vytvoření postupu správy úniku dat Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Pro servery Azure Database for PostgreSQL by mělo být povolené šifrování infrastruktury. Povolte šifrování infrastruktury pro servery Azure Database for PostgreSQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilními se standardem FIPS 140-2. Audit, Odepřít, Zakázáno 1.0.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana speciálních informací CMA_0409 – Ochrana speciálních informací Ručně, zakázáno 1.1.0

4.4

Ujistěte se, že je pro databázový server Standard MySQL nastavené vynucení připojení SSL na Povoleno.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.4.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů Ručně, zakázáno 1.1.0
Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana hesel pomocí šifrování CMA_0408 – Ochrana hesel pomocí šifrování Ručně, zakázáno 1.1.0

Ujistěte se, že je verze PROTOKOLU TLS nastavená na TLSV1.2 pro flexibilní databázový server MySQL.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.4.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů Ručně, zakázáno 1.1.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana hesel pomocí šifrování CMA_0408 – Ochrana hesel pomocí šifrování Ručně, zakázáno 1.1.0

4.5

Ujistěte se, že brány firewall a sítě jsou omezené na použití vybraných sítí místo všech sítí.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.5.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. Audit, Odepřít, Zakázáno 2.1.0

Ujistěte se, že jsou privátní koncové body používány tam, kde je to možné.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.5.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Účty Cosmos DB by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, zakázáno 1.0.0

Pokud je to možné, použijte ověřování klientů Azure Active Directory (AAD) a Azure RBAC.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.5.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Databázové účty Cosmos DB by měly mít zakázané místní metody ověřování. Zakázání místních metod ověřování zlepšuje zabezpečení tím, že zajišťuje, aby databázové účty Cosmos DB k ověřování výhradně vyžadovaly identity Azure Active Directory. Další informace najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Audit, Odepřít, Zakázáno 1.1.0

5,1

Ujistěte se, že existuje nastavení diagnostiky.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0

Ujistěte se, že nastavení diagnostiky zachycuje odpovídající kategorie.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Upozornění protokolu aktivit by mělo existovat pro konkrétní operace správy. Tato zásada audituje konkrétní operace správy bez nakonfigurovaných upozornění protokolu aktivit. AuditIfNotExists, zakázáno 1.0.0
Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. AuditIfNotExists, zakázáno 3.0.0
Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. AuditIfNotExists, zakázáno 1.0.0
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Konfigurace možností auditu Azure CMA_C1108 – Konfigurace možností auditu Azure Ručně, zakázáno 1.1.1
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0

Ujistěte se, že kontejner úložiště, který ukládá protokoly aktivit, není veřejně přístupný.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 3.1.0-preview
Povolení duální nebo společné autorizace CMA_0226 – Povolení duálního nebo společného autorizace Ručně, zakázáno 1.1.0
Ochrana informací o auditu CMA_0401 – Ochrana informací o auditu Ručně, zakázáno 1.1.0

Ujistěte se, že účet úložiště obsahující kontejner s protokoly aktivit je šifrovaný pomocí klíče spravovaného zákazníkem.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Povolení duální nebo společné autorizace CMA_0226 – Povolení duálního nebo společného autorizace Ručně, zakázáno 1.1.0
Zachování integrity systému auditu CMA_C1133 – zachování integrity systému auditu Ručně, zakázáno 1.1.0
Ochrana informací o auditu CMA_0401 – Ochrana informací o auditu Ručně, zakázáno 1.1.0
Účet úložiště obsahující kontejner s protokoly aktivit musí být šifrovaný pomocí BYOK. Tato zásada provede audit, jestli je účet úložiště obsahující kontejner s protokoly aktivit šifrovaný pomocí BYOK. Zásady fungují jenom v případě, že účet úložiště leží ve stejném předplatném jako protokoly aktivit podle návrhu. Další informace o šifrování neaktivních uložených dat ve službě Azure Storage najdete tady https://aka.ms/azurestoragebyok. AuditIfNotExists, zakázáno 1.0.0

Ujistěte se, že je protokolování pro Azure Key Vault povolené.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0
Protokoly prostředků ve službě Key Vault by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 5.0.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0

Ujistěte se, že protokoly toku skupiny zabezpečení sítě se zaznamenávají a odesílají do Log Analytics.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Všechny prostředky protokolu toku by měly být ve stavu povoleného. Auditujte prostředky protokolu toku a ověřte, jestli je povolený stav protokolu toku. Povolení protokolů toků umožňuje protokolovat informace o toku provozu PROTOKOLU IP. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. Audit, zakázáno 1.0.1
Konfigurace protokolů toku auditu pro každou virtuální síť Auditujte virtuální síť a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes virtuální síť. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. Audit, zakázáno 1.0.1
Protokoly toku by měly být nakonfigurované pro každou skupinu zabezpečení sítě. Auditujte skupiny zabezpečení sítě a ověřte, jestli jsou nakonfigurované protokoly toku. Povolení protokolů toku umožňuje protokolovat informace o provozu PROTOKOLU IP procházejících přes skupinu zabezpečení sítě. Dá se použít k optimalizaci toků sítě, monitorování propustnosti, ověřování dodržování předpisů, zjišťování neoprávněných vniknutí a další. Audit, zakázáno 1.1.0

5.2

Ujistěte se, že pro přiřazení zásad vytvoření existuje upozornění protokolu aktivit.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pracovníci upozornění na přelití informací CMA_0007 – pracovníci upozornění na únik informací Ručně, zakázáno 1.1.0
Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. AuditIfNotExists, zakázáno 3.0.0
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci Ručně, zakázáno 1.1.0

Ujistěte se, že pro přiřazení zásad odstranění existuje upozornění protokolu aktivit.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pracovníci upozornění na přelití informací CMA_0007 – pracovníci upozornění na únik informací Ručně, zakázáno 1.1.0
Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. AuditIfNotExists, zakázáno 3.0.0
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci Ručně, zakázáno 1.1.0

Ujistěte se, že pro skupinu zabezpečení sítě pro vytvoření nebo aktualizaci skupiny zabezpečení sítě existuje upozornění protokolu aktivit.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pracovníci upozornění na přelití informací CMA_0007 – pracovníci upozornění na únik informací Ručně, zakázáno 1.1.0
Upozornění protokolu aktivit by mělo existovat pro konkrétní operace správy. Tato zásada audituje konkrétní operace správy bez nakonfigurovaných upozornění protokolu aktivit. AuditIfNotExists, zakázáno 1.0.0
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci Ručně, zakázáno 1.1.0

Ujistěte se, že pro odstranění skupiny zabezpečení sítě existuje upozornění protokolu aktivit.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pracovníci upozornění na přelití informací CMA_0007 – pracovníci upozornění na únik informací Ručně, zakázáno 1.1.0
Upozornění protokolu aktivit by mělo existovat pro konkrétní operace správy. Tato zásada audituje konkrétní operace správy bez nakonfigurovaných upozornění protokolu aktivit. AuditIfNotExists, zakázáno 1.0.0
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci Ručně, zakázáno 1.1.0

Ujistěte se, že pro řešení pro vytvoření nebo aktualizaci řešení zabezpečení existuje upozornění protokolu aktivit.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pracovníci upozornění na přelití informací CMA_0007 – pracovníci upozornění na únik informací Ručně, zakázáno 1.1.0
Upozornění protokolu aktivit by mělo existovat pro konkrétní operace správy. Tato zásada audituje konkrétní operace správy bez nakonfigurovaných upozornění protokolu aktivit. AuditIfNotExists, zakázáno 1.0.0
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci Ručně, zakázáno 1.1.0

Ujistěte se, že pro řešení odstranění zabezpečení existuje upozornění protokolu aktivit.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pracovníci upozornění na přelití informací CMA_0007 – pracovníci upozornění na únik informací Ručně, zakázáno 1.1.0
Upozornění protokolu aktivit by mělo existovat pro konkrétní operace správy. Tato zásada audituje konkrétní operace správy bez nakonfigurovaných upozornění protokolu aktivit. AuditIfNotExists, zakázáno 1.0.0
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci Ručně, zakázáno 1.1.0

Ujistěte se, že pro pravidlo brány firewall pro vytvoření nebo aktualizaci pravidla brány firewall serveru SQL Server existuje upozornění protokolu aktivit.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pracovníci upozornění na přelití informací CMA_0007 – pracovníci upozornění na únik informací Ručně, zakázáno 1.1.0
Upozornění protokolu aktivit by mělo existovat pro konkrétní operace správy. Tato zásada audituje konkrétní operace správy bez nakonfigurovaných upozornění protokolu aktivit. AuditIfNotExists, zakázáno 1.0.0
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci Ručně, zakázáno 1.1.0

Ujistěte se, že pro odstranění pravidla brány firewall SQL Serveru existuje upozornění protokolu aktivit.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pracovníci upozornění na přelití informací CMA_0007 – pracovníci upozornění na únik informací Ručně, zakázáno 1.1.0
Upozornění protokolu aktivit by mělo existovat pro konkrétní operace správy. Tato zásada audituje konkrétní operace správy bez nakonfigurovaných upozornění protokolu aktivit. AuditIfNotExists, zakázáno 1.0.0
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci Ručně, zakázáno 1.1.0

5

Ujistěte se, že je protokolování prostředků služby Azure Monitor povolené pro všechny služby, které ho podporují.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Dodržování definovaných období uchovávání CMA_0004 – dodržování definovaných období uchovávání Ručně, zakázáno 1.1.0
Aplikace App Service by měly mít povolené protokoly prostředků. Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 2.0.1
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Konfigurace možností auditu Azure CMA_C1108 – Konfigurace možností auditu Azure Ručně, zakázáno 1.1.1
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0
Řízení a monitorování aktivit zpracování auditu CMA_0289 – Řízení a monitorování aktivit zpracování auditu Ručně, zakázáno 1.1.0
Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v účtech Batch by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v centru událostí by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě IoT Hub by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 3.1.0
Protokoly prostředků ve službě Key Vault by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v Logic Apps by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.1.0
Protokoly prostředků v Search by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Service Bus by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Zachování zásad a postupů zabezpečení CMA_0454 – Zachování zásad a postupů zabezpečení Ručně, zakázáno 1.1.0
Zachování ukončených uživatelských dat CMA_0455 – Zachování ukončených uživatelských dat Ručně, zakázáno 1.1.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0

6

Ujistěte se, že se vyhodnocuje a omezuje přístup RDP z internetu.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 6.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Porty pro správu by měly být na virtuálních počítačích zavřené. Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. AuditIfNotExists, zakázáno 3.0.0

Ujistěte se, že se vyhodnocuje a omezuje přístup SSH z internetu.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 6.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Porty pro správu by měly být na virtuálních počítačích zavřené. Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. AuditIfNotExists, zakázáno 3.0.0

Ujistěte se, že doba uchovávání protokolů toku skupiny zabezpečení sítě je delší než 90 dnů.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 6.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Dodržování definovaných období uchovávání CMA_0004 – dodržování definovaných období uchovávání Ručně, zakázáno 1.1.0
Zachování zásad a postupů zabezpečení CMA_0454 – Zachování zásad a postupů zabezpečení Ručně, zakázáno 1.1.0
Zachování ukončených uživatelských dat CMA_0455 – Zachování ukončených uživatelských dat Ručně, zakázáno 1.1.0

Ujistěte se, že je služba Network Watcher povolená.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 6.6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Služba Network Watcher by měla být povolená. Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. AuditIfNotExists, zakázáno 3.0.0
Ověření funkcí zabezpečení CMA_C1708 – Ověření funkcí zabezpečení Ručně, zakázáno 1.1.0

7

Ujistěte se, že virtuální počítače využívají Spravované disky

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit virtuálních počítačů, které nepoužívají spravované disky Tato zásada audituje virtuální počítače, které nevyužívají spravované disky. audit 1.0.0
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0
Správa vstupu, výstupu, zpracování a ukládání dat CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat Ručně, zakázáno 1.1.0
Kontrola aktivity a analýzy popisků CMA_0474 – Kontrola aktivit a analýz popisků Ručně, zakázáno 1.1.0

Ujistěte se, že disky s operačním systémem a daty jsou šifrované pomocí klíče spravovaného zákazníkem (CMK).

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření postupu správy úniku dat CMA_0255 – Vytvoření postupu správy úniku dat Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana speciálních informací CMA_0409 – Ochrana speciálních informací Ručně, zakázáno 1.1.0

Ujistěte se, že jsou nepřipojené disky šifrované pomocí klíče spravovaného zákazníkem (CMK).

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření postupu správy úniku dat CMA_0255 – Vytvoření postupu správy úniku dat Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. Zákazníci s vysokou úrovní zabezpečení, kteří se týkají rizika spojeného s jakýmkoli konkrétním šifrovacím algoritmem, implementací nebo klíčem, se mohou rozhodnout pro další vrstvu šifrování pomocí jiného šifrovacího algoritmu nebo režimu ve vrstvě infrastruktury pomocí šifrovacích klíčů spravovaných platformou. K použití dvojitého šifrování se vyžadují sady šifrování disků. Další informace najdete na adrese https://aka.ms/disks-doubleEncryption. Audit, Odepřít, Zakázáno 1.0.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana speciálních informací CMA_0409 – Ochrana speciálních informací Ručně, zakázáno 1.1.0

Ujistěte se, že jsou nainstalovaná jenom schválená rozšíření.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. Tato zásada řídí rozšíření virtuálních počítačů, která nejsou schválena. Audit, Odepřít, Zakázáno 1.0.0

Ujistěte se, že je nainstalovaná služba Endpoint Protection pro všechny virtuální počítače.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Zdokumentovat operace zabezpečení CMA_0202 – Zdokumentovat operace zabezpečení Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Týdenní kontrola stavu ochrany před hrozbami CMA_0479 – týdenní kontrola stavu ochrany před hrozbami Ručně, zakázáno 1.1.0
Zapnutí senzorů pro řešení zabezpečení koncových bodů CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0
Ověření integrity softwaru, firmwaru a informací CMA_0542 – Ověření integrity softwaru, firmwaru a informací Ručně, zakázáno 1.1.0

[Starší verze] Ujistěte se, že jsou virtuální pevné disky šifrované.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření postupu správy úniku dat CMA_0255 – Vytvoření postupu správy úniku dat Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana speciálních informací CMA_0409 – Ochrana speciálních informací Ručně, zakázáno 1.1.0

8

Ujistěte se, že je nastavené datum vypršení platnosti pro všechny klíče ve službě RBAC Key Vault.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování procesu správy fyzických klíčů CMA_0115 – Definování procesu správy fyzických klíčů Ručně, zakázáno 1.1.0
Definování kryptografického použití CMA_0120 – Definování kryptografického použití Ručně, zakázáno 1.1.0
Definování požadavků organizace na správu kryptografických klíčů CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů Ručně, zakázáno 1.1.0
Určení požadavků na kontrolní výraz CMA_0136 – Určení požadavků na kontrolní výraz Ručně, zakázáno 1.1.0
Vystavení certifikátů veřejného klíče CMA_0347 – Vydávání certifikátů veřejného klíče Ručně, zakázáno 1.1.0
Klíče služby Key Vault by měly mít datum vypršení platnosti. Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení. Audit, Odepřít, Zakázáno 1.0.2
Správa symetrických kryptografických klíčů CMA_0367 – Správa symetrických kryptografických klíčů Ručně, zakázáno 1.1.0
Omezení přístupu k privátním klíčům CMA_0445 – Omezení přístupu k privátním klíčům Ručně, zakázáno 1.1.0

Ujistěte se, že je nastavené datum vypršení platnosti pro všechny klíče v trezorech klíčů mimo RBAC.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování procesu správy fyzických klíčů CMA_0115 – Definování procesu správy fyzických klíčů Ručně, zakázáno 1.1.0
Definování kryptografického použití CMA_0120 – Definování kryptografického použití Ručně, zakázáno 1.1.0
Definování požadavků organizace na správu kryptografických klíčů CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů Ručně, zakázáno 1.1.0
Určení požadavků na kontrolní výraz CMA_0136 – Určení požadavků na kontrolní výraz Ručně, zakázáno 1.1.0
Vystavení certifikátů veřejného klíče CMA_0347 – Vydávání certifikátů veřejného klíče Ručně, zakázáno 1.1.0
Klíče služby Key Vault by měly mít datum vypršení platnosti. Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení. Audit, Odepřít, Zakázáno 1.0.2
Správa symetrických kryptografických klíčů CMA_0367 – Správa symetrických kryptografických klíčů Ručně, zakázáno 1.1.0
Omezení přístupu k privátním klíčům CMA_0445 – Omezení přístupu k privátním klíčům Ručně, zakázáno 1.1.0

Ujistěte se, že je nastavené datum vypršení platnosti pro všechny tajné kódy ve službě RBAC Key Vault.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování procesu správy fyzických klíčů CMA_0115 – Definování procesu správy fyzických klíčů Ručně, zakázáno 1.1.0
Definování kryptografického použití CMA_0120 – Definování kryptografického použití Ručně, zakázáno 1.1.0
Definování požadavků organizace na správu kryptografických klíčů CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů Ručně, zakázáno 1.1.0
Určení požadavků na kontrolní výraz CMA_0136 – Určení požadavků na kontrolní výraz Ručně, zakázáno 1.1.0
Vystavení certifikátů veřejného klíče CMA_0347 – Vydávání certifikátů veřejného klíče Ručně, zakázáno 1.1.0
Tajné kódy služby Key Vault by měly mít datum vypršení platnosti. Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů. Audit, Odepřít, Zakázáno 1.0.2
Správa symetrických kryptografických klíčů CMA_0367 – Správa symetrických kryptografických klíčů Ručně, zakázáno 1.1.0
Omezení přístupu k privátním klíčům CMA_0445 – Omezení přístupu k privátním klíčům Ručně, zakázáno 1.1.0

Ujistěte se, že je nastavené datum vypršení platnosti pro všechny tajné kódy ve službě Key Vault mimo RBAC.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování procesu správy fyzických klíčů CMA_0115 – Definování procesu správy fyzických klíčů Ručně, zakázáno 1.1.0
Definování kryptografického použití CMA_0120 – Definování kryptografického použití Ručně, zakázáno 1.1.0
Definování požadavků organizace na správu kryptografických klíčů CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů Ručně, zakázáno 1.1.0
Určení požadavků na kontrolní výraz CMA_0136 – Určení požadavků na kontrolní výraz Ručně, zakázáno 1.1.0
Vystavení certifikátů veřejného klíče CMA_0347 – Vydávání certifikátů veřejného klíče Ručně, zakázáno 1.1.0
Tajné kódy služby Key Vault by měly mít datum vypršení platnosti. Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů. Audit, Odepřít, Zakázáno 1.0.2
Správa symetrických kryptografických klíčů CMA_0367 – Správa symetrických kryptografických klíčů Ručně, zakázáno 1.1.0
Omezení přístupu k privátním klíčům CMA_0445 – Omezení přístupu k privátním klíčům Ručně, zakázáno 1.1.0

Ujistěte se, že je služba Key Vault obnovitelná.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Trezory klíčů by měly mít povolenou ochranu před odstraněním. Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. Audit, Odepřít, Zakázáno 2.1.0
Trezory klíčů by měly mít povolené obnovitelné odstranění. Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. Audit, Odepřít, Zakázáno 3.0.0

Povolení řízení přístupu na základě role pro Azure Key Vault

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Azure Key Vault by měl používat model oprávnění RBAC. Povolte model oprávnění RBAC napříč službami Key Vault. Další informace najdete tady: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration Audit, Odepřít, Zakázáno 1.0.1

Ujistěte se, že se pro Azure Key Vault používají privátní koncové body.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Služby Azure Key Vault by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1

Ujistěte se, že je v rámci služby Azure Key Vault povolená automatická obměně klíčů pro podporované služby.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Klíče by měly mít zásadu obměně, která zajistí, že se jejich rotace naplánuje během zadaného počtu dnů po vytvoření. Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximálního počtu dnů po vytvoření klíče, dokud se nebude muset otočit. Audit, zakázáno 1.0.0

9

Ujistěte se, že je pro aplikace ve službě Aplikace Azure Service nastavené ověřování služby App Service.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Aplikace služby App Service by měly mít povolené ověřování. Aplikace Azure ověřování služby je funkce, která může bránit anonymním požadavkům HTTP v přístupu k webové aplikaci nebo ověřovat ty, které mají tokeny před tím, než se dostanou k webové aplikaci. AuditIfNotExists, zakázáno 2.0.1
Ověřování v kryptografickém modulu CMA_0021 – Ověřování v kryptografickém modulu Ručně, zakázáno 1.1.0
Vynucení jedinečnosti uživatele CMA_0250 – vynucování jedinečnosti uživatele Ručně, zakázáno 1.1.0
Aplikace funkcí by měly mít povolené ověřování. Aplikace Azure ověřování služby je funkce, která může zabránit anonymním požadavkům HTTP v přístupu k aplikaci funkcí nebo ověření těch, které mají tokeny před dosažením aplikace funkcí. AuditIfNotExists, zakázáno 3.0.0
Podpora přihlašovacích údajů pro osobní ověření vydaných právními orgány CMA_0507 – Podpora osobních ověřovacích přihlašovacích údajů vydaných právními orgány Ručně, zakázáno 1.1.0

Ujistěte se, že nasazení FTP jsou zakázaná.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.10 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Aplikace app Service by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů Ručně, zakázáno 1.1.0
Aplikace funkcí by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana hesel pomocí šifrování CMA_0408 – Ochrana hesel pomocí šifrování Ručně, zakázáno 1.1.0

Ujistěte se, že se služby Azure Key Vault používají k ukládání tajných kódů.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.11 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování procesu správy fyzických klíčů CMA_0115 – Definování procesu správy fyzických klíčů Ručně, zakázáno 1.1.0
Definování kryptografického použití CMA_0120 – Definování kryptografického použití Ručně, zakázáno 1.1.0
Definování požadavků organizace na správu kryptografických klíčů CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů Ručně, zakázáno 1.1.0
Určení požadavků na kontrolní výraz CMA_0136 – Určení požadavků na kontrolní výraz Ručně, zakázáno 1.1.0
Ujistěte se, že jsou kryptografické mechanismy pod správou konfigurace. CMA_C1199 – Ujistěte se, že jsou kryptografické mechanismy pod správou konfigurace. Ručně, zakázáno 1.1.0
Vystavení certifikátů veřejného klíče CMA_0347 – Vydávání certifikátů veřejného klíče Ručně, zakázáno 1.1.0
Zachování dostupnosti informací CMA_C1644 – zachování dostupnosti informací Ručně, zakázáno 1.1.0
Správa symetrických kryptografických klíčů CMA_0367 – Správa symetrických kryptografických klíčů Ručně, zakázáno 1.1.0
Omezení přístupu k privátním klíčům CMA_0445 – Omezení přístupu k privátním klíčům Ručně, zakázáno 1.1.0

Ujistěte se, že webová aplikace přesměrovává veškerý provoz HTTP na HTTPS ve službě Aplikace Azure Service.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. Audit, Zakázáno, Odepřít 4.0.0
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů Ručně, zakázáno 1.1.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana hesel pomocí šifrování CMA_0408 – Ochrana hesel pomocí šifrování Ručně, zakázáno 1.1.0

Ujistěte se, že webová aplikace používá nejnovější verzi šifrování TLS.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. AuditIfNotExists, zakázáno 2.1.0
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů Ručně, zakázáno 1.1.0
Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. AuditIfNotExists, zakázáno 2.1.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana hesel pomocí šifrování CMA_0408 – Ochrana hesel pomocí šifrování Ručně, zakázáno 1.1.0

Ujistěte se, že je ve webové aplikaci nastavená možnost Klientské certifikáty (příchozí klientské certifikáty) na Zapnuto.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Zastaralé]: Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tuto zásadu nahradila nová zásada se stejným názvem, protože Http 2.0 nepodporuje klientské certifikáty. Audit, zakázáno 3.1.0 zastaralé
[Zastaralé]: Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. K aplikaci budou mít přístup jenom klienti s platnými certifikáty. Tuto zásadu nahradila nová zásada se stejným názvem, protože Http 2.0 nepodporuje klientské certifikáty. Audit, zakázáno 3.1.0 zastaralé
Ověřování v kryptografickém modulu CMA_0021 – Ověřování v kryptografickém modulu Ručně, zakázáno 1.1.0

Ujistěte se, že je ve službě App Service povolená registrace v Azure Active Directory.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Aplikace App Service by měly používat spravovanou identitu. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 3.0.0
Automatizace správy účtů CMA_0026 – Automatizace správy účtů Ručně, zakázáno 1.1.0
Aplikace funkcí by měly používat spravovanou identitu Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 3.0.0
Správa účtů systému a správců CMA_0368 – Správa účtů systému a správců Ručně, zakázáno 1.1.0
Monitorování přístupu v celé organizaci CMA_0376 – Monitorování přístupu v celé organizaci Ručně, zakázáno 1.1.0
Upozornit, když účet není potřeba CMA_0383 – Upozornit, když účet není potřeba Ručně, zakázáno 1.1.0

Ujistěte se, že verze PHP je nejnovější, pokud se používá ke spuštění webové aplikace.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Sloty aplikací služby App Service, které používají PHP, by měly používat zadanou verzi PHP. Pro software PHP se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze PHP pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi PHP, která splňuje vaše požadavky. AuditIfNotExists, zakázáno 1.0.0
Aplikace služby App Service, které používají PHP, by měly používat zadanou verzi PHP. Pro software PHP se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze PHP pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi PHP, která splňuje vaše požadavky. AuditIfNotExists, zakázáno 3.2.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0

Ujistěte se, že verze Pythonu je nejnovější stabilní verze, pokud se používá ke spuštění webové aplikace.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Sloty aplikací služby App Service, které používají Python, by měly používat zadanou verzi Pythonu. Pro software Pythonu se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Pythonu pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Pythonu, která splňuje vaše požadavky. AuditIfNotExists, zakázáno 1.0.0
Aplikace služby App Service, které používají Python, by měly používat zadanou verzi Pythonu. Pro software Pythonu se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Pythonu pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Pythonu, která splňuje vaše požadavky. AuditIfNotExists, zakázáno 4.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0

Ujistěte se, že verze Java je nejnovější, pokud se používá ke spuštění webové aplikace.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Sloty aplikace funkcí, které používají Javu, by měly používat zadanou verzi Javy. Pro software v Javě se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Javy pro aplikace funkcí se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Javy, která splňuje vaše požadavky. AuditIfNotExists, zakázáno 1.0.0
Aplikace funkcí, které používají Javu, by měly používat zadanou verzi Javy. Pro software v Javě se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Javy pro aplikace funkcí se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Javy, která splňuje vaše požadavky. AuditIfNotExists, zakázáno 3.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0

Ujistěte se, že verze HTTP je nejnovější, pokud se používá ke spuštění webové aplikace.

ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.9 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Aplikace app Service by měly používat nejnovější verzi HTTP. Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. AuditIfNotExists, zakázáno 4.0.0
Aplikace funkcí by měly používat nejnovější verzi HTTP. Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. AuditIfNotExists, zakázáno 4.0.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0

Další kroky

Další články o službě Azure Policy: