Sdílet prostřednictvím


Podrobnosti integrované iniciativy FedRAMP High Regulatory Compliance

Následující článek podrobně popisuje, jak se předdefinovaná definice iniciativy Dodržování právních předpisů Azure Policy mapuje na domény dodržování předpisů a kontroly v FedRAMP High. Další informace o tomto standardu dodržování předpisů najdete v tématu FedRAMP High. Pokud chcete porozumět vlastnictví, projděte si typ zásad a sdílenou odpovědnost v cloudu.

Následující mapování jsou na ovládací prvky FedRAMP High . Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy . Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásady na webu Azure Portal a vyberte stránku Definice . Pak vyhledejte a vyberte předdefinovaný definici iniciativy FedRAMP High Regulatory Compliance.

Důležité

Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné definice zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi služby Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.

Řízení přístupu

Zásady a postupy řízení přístupu

ID: FedRAMP High AC-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj zásad a postupů řízení přístupu CMA_0144 – Vývoj zásad a postupů řízení přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0
Řízení zásad a postupů CMA_0292 – Řízení zásad a postupů Ručně, zakázáno 1.1.0
Kontrola zásad a postupů řízení přístupu CMA_0457 – Kontrola zásad a postupů řízení přístupu Ručně, zakázáno 1.1.0

Správa účtů

ID: FedRAMP High AC-2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. AuditIfNotExists, zakázáno 3.0.0
Správce Azure Active Directory by měl být zřízený pro sql servery. Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft AuditIfNotExists, zakázáno 1.0.0
Aplikace App Service by měly používat spravovanou identitu. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 3.0.0
Přiřazení správců účtů CMA_0015 – Přiřazení správců účtů Ručně, zakázáno 1.1.0
Auditování využití vlastních rolí RBAC Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. Audit, zakázáno 1.0.1
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth Audit, Odepřít, Zakázáno 1.1.0
Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. AuditIfNotExists, zakázáno 1.0.0
Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. AuditIfNotExists, zakázáno 1.0.0
Definování a vynucování podmínek pro sdílené účty a účty skupin CMA_0117 – Definování a vynucování podmínek pro sdílené účty a účty skupin Ručně, zakázáno 1.1.0
Definování typů účtů informačního systému CMA_0121 – definování typů účtů informačního systému Ručně, zakázáno 1.1.0
Oprávnění k přístupu k dokumentům CMA_0186 – oprávnění k přístupu k dokumentům Ručně, zakázáno 1.1.0
Vytvoření podmínek pro členství v rolích CMA_0269 – Vytvoření podmínek pro členství v rolích Ručně, zakázáno 1.1.0
Aplikace funkcí by měly používat spravovanou identitu Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 3.0.0
Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. AuditIfNotExists, zakázáno 1.0.0
Monitorování aktivity účtu CMA_0377 – Monitorování aktivity účtu Ručně, zakázáno 1.1.0
Upozornit správce účtů na účty řízené zákazníky CMA_C1009 – upozornit správce účtů na účty řízené zákazníky Ručně, zakázáno 1.1.0
Reissue authenticators for changed groups and accounts CMA_0426 – reissue authenticátory pro změněné skupiny a účty Ručně, zakázáno 1.1.0
Vyžadovat schválení pro vytvoření účtu CMA_0431 – Vyžadování schválení pro vytvoření účtu Ručně, zakázáno 1.1.0
Omezení přístupu k privilegovaným účtům CMA_0446 – Omezení přístupu k privilegovaným účtům Ručně, zakázáno 1.1.0
Kontrola protokolů zřizování účtů CMA_0460 – Kontrola protokolů zřizování účtů Ručně, zakázáno 1.1.0
Kontrola uživatelských účtů CMA_0480 – Kontrola uživatelských účtů Ručně, zakázáno 1.1.0
Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric Audit, Odepřít, Zakázáno 1.1.0

Automatizovaná správa účtů systému

ID: FedRAMP High AC-2 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Správce Azure Active Directory by měl být zřízený pro sql servery. Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft AuditIfNotExists, zakázáno 1.0.0
Automatizace správy účtů CMA_0026 – Automatizace správy účtů Ručně, zakázáno 1.1.0
Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth Audit, Odepřít, Zakázáno 1.1.0
Správa účtů systému a správců CMA_0368 – Správa účtů systému a správců Ručně, zakázáno 1.1.0
Monitorování přístupu v celé organizaci CMA_0376 – Monitorování přístupu v celé organizaci Ručně, zakázáno 1.1.0
Upozornit, když účet není potřeba CMA_0383 – Upozornit, když účet není potřeba Ručně, zakázáno 1.1.0
Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric Audit, Odepřít, Zakázáno 1.1.0

Zakázání neaktivních účtů

ID: FedRAMP High AC-2 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zakázání ověřovacích modulů po ukončení CMA_0169 – Zakázání ověřovacích modulů po ukončení Ručně, zakázáno 1.1.0
Odvolání privilegovaných rolí podle potřeby CMA_0483 – Odvolání privilegovaných rolí podle potřeby Ručně, zakázáno 1.1.0

Automatizované akce auditu

ID: FedRAMP High AC-2 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Automatizace správy účtů CMA_0026 – Automatizace správy účtů Ručně, zakázáno 1.1.0
Správa účtů systému a správců CMA_0368 – Správa účtů systému a správců Ručně, zakázáno 1.1.0
Monitorování přístupu v celé organizaci CMA_0376 – Monitorování přístupu v celé organizaci Ručně, zakázáno 1.1.0
Upozornit, když účet není potřeba CMA_0383 – Upozornit, když účet není potřeba Ručně, zakázáno 1.1.0

Odhlášení nečinnosti

ID: FedRAMP High AC-2 (5) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování a vynucení zásad protokolu nečinnosti CMA_C1017 – Definování a vynucování zásad protokolu nečinnosti Ručně, zakázáno 1.1.0

Schémata založená na rolích

ID: FedRAMP High AC-2 (7) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Správce Azure Active Directory by měl být zřízený pro sql servery. Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft AuditIfNotExists, zakázáno 1.0.0
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Auditování využití vlastních rolí RBAC Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. Audit, zakázáno 1.0.1
Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth Audit, Odepřít, Zakázáno 1.1.0
Monitorování aktivity účtu CMA_0377 – Monitorování aktivity účtu Ručně, zakázáno 1.1.0
Monitorování přiřazení privilegovaných rolí CMA_0378 – Monitorování přiřazení privilegovaných rolí Ručně, zakázáno 1.1.0
Omezení přístupu k privilegovaným účtům CMA_0446 – Omezení přístupu k privilegovaným účtům Ručně, zakázáno 1.1.0
Odvolání privilegovaných rolí podle potřeby CMA_0483 – Odvolání privilegovaných rolí podle potřeby Ručně, zakázáno 1.1.0
Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric Audit, Odepřít, Zakázáno 1.1.0
Použití správy privilegovaných identit CMA_0533 – Použití správy privilegovaných identit Ručně, zakázáno 1.1.0

Omezení používání sdílených skupin nebo účtů

ID: FedRAMP High AC-2 (9) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování a vynucování podmínek pro sdílené účty a účty skupin CMA_0117 – Definování a vynucování podmínek pro sdílené účty a účty skupin Ručně, zakázáno 1.1.0

Ukončení přihlašovacích údajů sdíleného nebo skupinového účtu

ID: FedRAMP High AC-2 (10) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ukončení přihlašovacích údajů účtu řízeného zákazníkem CMA_C1022 – Ukončení přihlašovacích údajů účtu řízeného zákazníkem Ručně, zakázáno 1.1.0

Podmínky použití

ID: FedRAMP High AC-2 (11) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vynucení vhodného využití všech účtů CMA_C1023 – vynucování vhodného využití všech účtů Ručně, zakázáno 1.1.0

Monitorování účtů / neobvyklé využití

ID: FedRAMP High AC-2 (12) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, zakázáno 6.0.0-preview
Služba Azure Defender for App Service by měla být povolená. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, zakázáno 1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Služba Azure Defender for Key Vault by měla být povolená. Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender for Resource Manager by měl být povolený. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Měl by být povolený Microsoft Defender pro úložiště. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, zakázáno 1.0.0
Monitorování aktivity účtu CMA_0377 – Monitorování aktivity účtu Ručně, zakázáno 1.1.0
Nahlášení neobvyklého chování uživatelských účtů CMA_C1025 – Hlášení neobvyklého chování uživatelských účtů Ručně, zakázáno 1.1.0

Zakázání účtů pro vysoce rizikové jednotlivce

ID: FedRAMP High AC-2 (13) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zakázání uživatelských účtů představujících významné riziko CMA_C1026 – Zakázání uživatelských účtů představujících významné riziko Ručně, zakázáno 1.1.0

Vynucení přístupu

ID: FedRAMP High AC-3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. modify (úprava) 4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. modify (úprava) 4.1.0
Správce Azure Active Directory by měl být zřízený pro sql servery. Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft AuditIfNotExists, zakázáno 1.0.0
Aplikace App Service by měly používat spravovanou identitu. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 3.0.0
Auditování počítačů s Linuxem, které mají účty bez hesel Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které mají účty bez hesel AuditIfNotExists, zakázáno 3.1.0
Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, zakázáno 3.2.0
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth Audit, Odepřít, Zakázáno 1.1.0
Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. deployIfNotExists 3.1.0
Vynucení logického přístupu CMA_0245 – vynucení logického přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0
Aplikace funkcí by měly používat spravovanou identitu Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 3.0.0
Vyžadovat schválení pro vytvoření účtu CMA_0431 – Vyžadování schválení pro vytvoření účtu Ručně, zakázáno 1.1.0
Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům Ručně, zakázáno 1.1.0
Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric Audit, Odepřít, Zakázáno 1.1.0
Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru. Pomocí nového Azure Resource Manageru pro účty úložiště můžete poskytovat vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. Audit, Odepřít, Zakázáno 1.0.0
Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. Pomocí nového Azure Resource Manageru pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. Audit, Odepřít, Zakázáno 1.0.0

Vynucení toku informací

ID: FedRAMP High AC-4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, zakázáno 1.0.1 – zastaralé
[Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, zakázáno 3.0.1 – zastaralé
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace AuditIfNotExists, zakázáno 3.0.0-preview
[Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 3.1.0-preview
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. AuditIfNotExists, zakázáno 3.0.0
Služby API Management by měly používat virtuální síť. Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. Audit, Odepřít, Zakázáno 1.0.2
Konfigurace aplikace by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, zakázáno 1.0.2
Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. AuditIfNotExists, zakázáno 2.0.0
Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. Audit, zakázáno 2.0.1
Prostředky azure AI Services by měly omezit síťový přístup. Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. Audit, Odepřít, Zakázáno 3.2.0
Rozhraní Azure API for FHIR by mělo používat privátní propojení. Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. Audit, zakázáno 1.0.0
Azure Cache for Redis by měl používat privátní propojení Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, zakázáno 1.0.0
Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Odepřít, Zakázáno 1.0.0
Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Odepřít, Zakázáno 1.0.0
Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. Audit, Odepřít, Zakázáno 2.1.0
Azure Data Factory by měla používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, zakázáno 1.0.0
Domény Služby Azure Event Grid by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. Audit, zakázáno 1.0.2
Témata služby Azure Event Grid by měla používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. Audit, zakázáno 1.0.2
Synchronizace souborů Azure by měl používat privátní propojení Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. AuditIfNotExists, zakázáno 1.0.0
Služba Azure Key Vault by měla mít povolenou bránu firewall. Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Odepřít, Zakázáno 3.2.1
Služby Azure Key Vault by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, zakázáno 1.0.0
Obory názvů služby Azure Service Bus by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, zakázáno 1.0.0
Služba Azure SignalR by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. Audit, zakázáno 1.0.0
Pracovní prostory Azure Synapse by měly používat private link. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, zakázáno 1.0.1
Služba Azure Web PubSub by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. Audit, zakázáno 1.0.0
Registry kontejnerů by neměly umožňovat neomezený síťový přístup Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet Audit, Odepřít, Zakázáno 2.0.0
Registry kontejnerů by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. Audit, zakázáno 1.0.1
Tok informací o řízení CMA_0079 – tok informací o řízení Ručně, zakázáno 1.1.0
Účty Cosmos DB by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, zakázáno 1.0.0
Prostředky přístupu k diskům by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, zakázáno 1.0.0
Použití mechanismů řízení toku zašifrovaných informací CMA_0211 – využití mechanismů řízení toku zašifrovaných informací Ručně, zakázáno 1.1.0
Obory názvů centra událostí by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, zakázáno 1.0.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. Audit, zakázáno 1.0.0
Předávání IP na virtuálním počítači by mělo být zakázané. Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. AuditIfNotExists, zakázáno 3.0.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Porty pro správu by měly být na virtuálních počítačích zavřené. Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. AuditIfNotExists, zakázáno 3.0.0
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. Audit, zakázáno 1.1.0
Privátní koncový bod by měl být povolený pro servery MariaDB. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery MySQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery PostgreSQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. Audit, Odepřít, Zakázáno 1.1.0
Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.0
Přístup k veřejné síti by měl být pro servery MySQL zakázaný. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.0
Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.1
Účty úložiště by měly omezit přístup k síti Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. Audit, Odepřít, Zakázáno 1.1.1
Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. Audit, Odepřít, Zakázáno 1.0.1
Účty úložiště by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, zakázáno 2.0.0
Podsítě by měly být přidružené ke skupině zabezpečení sítě. Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. AuditIfNotExists, zakázáno 3.0.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Zakázáno, Odepřít 1.1.0

Filtry zásad zabezpečení

ID: FedRAMP High AC-4 (8) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení toku informací pomocí filtrů zásad zabezpečení CMA_C1029 – řízení toku informací pomocí filtrů zásad zabezpečení Ručně, zakázáno 1.1.0

Fyzické / logické oddělení informačních toků

ID: FedRAMP High AC-4 (21) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Tok informací o řízení CMA_0079 – tok informací o řízení Ručně, zakázáno 1.1.0
Vytvoření standardů konfigurace brány firewall a směrovače CMA_0272 – Vytvoření standardů konfigurace brány firewall a směrovače Ručně, zakázáno 1.1.0
Vytvoření segmentace sítě pro datové prostředí držitelů karet CMA_0273 – Vytvoření segmentace sítě pro datové prostředí držitelů karet Ručně, zakázáno 1.1.0
Identifikace a správa výměn podřízených informací CMA_0298 – Identifikace a správa výměn informací v podřízených Ručně, zakázáno 1.1.0

Oddělení povinností

ID: FedRAMP High AC-5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování autorizací přístupu pro podporu oddělení povinností CMA_0116 – Definování autorizací přístupu pro podporu oddělení povinností Ručně, zakázáno 1.1.0
Dokument oddělení povinností CMA_0204 – dokument oddělení povinností Ručně, zakázáno 1.1.0
Samostatné povinnosti jednotlivců CMA_0492 - samostatné povinnosti jednotlivců Ručně, zakázáno 1.1.0
K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. AuditIfNotExists, zakázáno 3.0.0

Nejnižší oprávnění

ID: FedRAMP High AC-6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. AuditIfNotExists, zakázáno 3.0.0
Auditování využití vlastních rolí RBAC Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. Audit, zakázáno 1.0.1
Návrh modelu řízení přístupu CMA_0129 – Návrh modelu řízení přístupu Ručně, zakázáno 1.1.0
Využití přístupu s nejnižšími oprávněními CMA_0212 – Využití přístupu s nejnižšími oprávněními Ručně, zakázáno 1.1.0

Autorizace přístupu k funkcím zabezpečení

ID: FedRAMP High AC-6 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace přístupu k funkcím zabezpečení a informacím CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím Ručně, zakázáno 1.1.0
Autorizace a správa přístupu CMA_0023 – Autorizace a správa přístupu Ručně, zakázáno 1.1.0
Vynucení povinných a volitelných zásad řízení přístupu CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu Ručně, zakázáno 1.1.0

Privilegované účty

ID: FedRAMP High AC-6 (5) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Omezení přístupu k privilegovaným účtům CMA_0446 – Omezení přístupu k privilegovaným účtům Ručně, zakázáno 1.1.0

Kontrola uživatelských oprávnění

ID: FedRAMP High AC-6 (7) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. AuditIfNotExists, zakázáno 3.0.0
Auditování využití vlastních rolí RBAC Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. Audit, zakázáno 1.0.1
Podle potřeby znovu přiřaďte nebo odeberte uživatelská oprávnění. CMA_C1040 – podle potřeby znovu přiřadit nebo odebrat uživatelská oprávnění Ručně, zakázáno 1.1.0
Kontrola uživatelských oprávnění CMA_C1039 – Kontrola uživatelských oprávnění Ručně, zakázáno 1.1.0

Úrovně oprávnění pro spouštění kódu

ID: FedRAMP High AC-6 (8) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vynucení oprávnění ke spuštění softwaru CMA_C1041 – Vynucení oprávnění ke spuštění softwaru Ručně, zakázáno 1.1.0

Použití auditování privilegovaných funkcí

ID: FedRAMP High AC-6 (9) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Provedení úplné analýzy textu protokolovaných privilegovaných příkazů CMA_0056 – Provedení úplné analýzy textu protokolovaných privilegovaných příkazů Ručně, zakázáno 1.1.0
Monitorování přiřazení privilegovaných rolí CMA_0378 – Monitorování přiřazení privilegovaných rolí Ručně, zakázáno 1.1.0
Omezení přístupu k privilegovaným účtům CMA_0446 – Omezení přístupu k privilegovaným účtům Ručně, zakázáno 1.1.0
Odvolání privilegovaných rolí podle potřeby CMA_0483 – Odvolání privilegovaných rolí podle potřeby Ručně, zakázáno 1.1.0
Použití správy privilegovaných identit CMA_0533 – Použití správy privilegovaných identit Ručně, zakázáno 1.1.0

Neúspěšné pokusy o přihlášení

ID: FedRAMP High AC-7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vynucení limitu po sobě jdoucích neúspěšných pokusů o přihlášení CMA_C1044 – Vynucení limitu po sobě jdoucích neúspěšných pokusů o přihlášení Ručně, zakázáno 1.1.0

Řízení souběžné relace

ID: FedRAMP High AC-10 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování a vynucení limitu souběžných relací CMA_C1050 – Definování a vynucení limitu souběžných relací Ručně, zakázáno 1.1.0

Ukončení relace

ID: FedRAMP High AC-12 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Automatické ukončení uživatelské relace CMA_C1054 – Ukončení uživatelské relace automaticky Ručně, zakázáno 1.1.0

Odhlášení iniciované uživatelem / Zobrazení zpráv

ID: FedRAMP High AC-12 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zobrazení explicitní zprávy o odhlášení CMA_C1056 – zobrazení explicitní zprávy o odhlášení Ručně, zakázáno 1.1.0
Poskytnutí možnosti odhlášení CMA_C1055 – Poskytnutí možnosti odhlášení Ručně, zakázáno 1.1.0

Povolené akce bez identifikace nebo ověřování

ID: FedRAMP High AC-14 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Identifikace povolených akcí bez ověřování CMA_0295 – Identifikace povolených akcí bez ověřování Ručně, zakázáno 1.1.0

Vzdálený přístup

ID: FedRAMP High AC-17 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, zakázáno 1.0.1 – zastaralé
[Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, zakázáno 3.0.1 – zastaralé
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. modify (úprava) 4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. modify (úprava) 4.1.0
Konfigurace aplikace by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, zakázáno 1.0.2
Aplikace app Service by měly mít vypnuté vzdálené ladění Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 2.0.0
Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel AuditIfNotExists, zakázáno 3.1.0
Autorizace vzdáleného přístupu CMA_0024 – Autorizace vzdáleného přístupu Ručně, zakázáno 1.1.0
Rozhraní Azure API for FHIR by mělo používat privátní propojení. Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. Audit, zakázáno 1.0.0
Azure Cache for Redis by měl používat privátní propojení Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, zakázáno 1.0.0
Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Odepřít, Zakázáno 1.0.0
Azure Data Factory by měla používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, zakázáno 1.0.0
Domény Služby Azure Event Grid by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. Audit, zakázáno 1.0.2
Témata služby Azure Event Grid by měla používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. Audit, zakázáno 1.0.2
Synchronizace souborů Azure by měl používat privátní propojení Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. AuditIfNotExists, zakázáno 1.0.0
Služby Azure Key Vault by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, zakázáno 1.0.0
Obory názvů služby Azure Service Bus by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, zakázáno 1.0.0
Služba Azure SignalR by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. Audit, zakázáno 1.0.0
Azure Spring Cloud by měl používat injektáž sítě Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. Audit, Zakázáno, Odepřít 1.2.0
Pracovní prostory Azure Synapse by měly používat private link. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, zakázáno 1.0.1
Služba Azure Web PubSub by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. Audit, zakázáno 1.0.0
Registry kontejnerů by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. Audit, zakázáno 1.0.1
Účty Cosmos DB by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, zakázáno 1.0.0
Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. deployIfNotExists 3.1.0
Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. deployIfNotExists 1.2.0
Prostředky přístupu k diskům by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, zakázáno 1.0.0
Školení k dokumentování mobility CMA_0191 – Školení k dokumentování mobility Ručně, zakázáno 1.1.0
Zdokumentovat pokyny pro vzdálený přístup CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup Ručně, zakázáno 1.1.0
Obory názvů centra událostí by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, zakázáno 1.0.0
Aplikace funkcí by měly mít vypnuté vzdálené ladění. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 2.0.0
Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit Ručně, zakázáno 1.1.0
Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. Audit, zakázáno 1.0.0
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. Audit, zakázáno 1.1.0
Privátní koncový bod by měl být povolený pro servery MariaDB. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery MySQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery PostgreSQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Poskytnutí školení k ochraně osobních údajů CMA_0415 – poskytování školení k ochraně osobních údajů Ručně, zakázáno 1.1.0
Účty úložiště by měly omezit přístup k síti Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. Audit, Odepřít, Zakázáno 1.1.1
Účty úložiště by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, zakázáno 2.0.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Zakázáno, Odepřít 1.1.0

Automatizované monitorování / řízení

ID: FedRAMP High AC-17 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, zakázáno 1.0.1 – zastaralé
[Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, zakázáno 3.0.1 – zastaralé
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. modify (úprava) 4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. modify (úprava) 4.1.0
Konfigurace aplikace by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, zakázáno 1.0.2
Aplikace app Service by měly mít vypnuté vzdálené ladění Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 2.0.0
Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel AuditIfNotExists, zakázáno 3.1.0
Rozhraní Azure API for FHIR by mělo používat privátní propojení. Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. Audit, zakázáno 1.0.0
Azure Cache for Redis by měl používat privátní propojení Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, zakázáno 1.0.0
Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Odepřít, Zakázáno 1.0.0
Azure Data Factory by měla používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, zakázáno 1.0.0
Domény Služby Azure Event Grid by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. Audit, zakázáno 1.0.2
Témata služby Azure Event Grid by měla používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. Audit, zakázáno 1.0.2
Synchronizace souborů Azure by měl používat privátní propojení Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. AuditIfNotExists, zakázáno 1.0.0
Služby Azure Key Vault by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, zakázáno 1.0.0
Obory názvů služby Azure Service Bus by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, zakázáno 1.0.0
Služba Azure SignalR by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. Audit, zakázáno 1.0.0
Azure Spring Cloud by měl používat injektáž sítě Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. Audit, Zakázáno, Odepřít 1.2.0
Pracovní prostory Azure Synapse by měly používat private link. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, zakázáno 1.0.1
Služba Azure Web PubSub by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. Audit, zakázáno 1.0.0
Registry kontejnerů by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. Audit, zakázáno 1.0.1
Účty Cosmos DB by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, zakázáno 1.0.0
Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. deployIfNotExists 3.1.0
Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. deployIfNotExists 1.2.0
Prostředky přístupu k diskům by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, zakázáno 1.0.0
Obory názvů centra událostí by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, zakázáno 1.0.0
Aplikace funkcí by měly mít vypnuté vzdálené ladění. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 2.0.0
Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. Audit, zakázáno 1.0.0
Monitorování přístupu v celé organizaci CMA_0376 – Monitorování přístupu v celé organizaci Ručně, zakázáno 1.1.0
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. Audit, zakázáno 1.1.0
Privátní koncový bod by měl být povolený pro servery MariaDB. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery MySQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery PostgreSQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Účty úložiště by měly omezit přístup k síti Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. Audit, Odepřít, Zakázáno 1.1.1
Účty úložiště by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, zakázáno 2.0.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Zakázáno, Odepřít 1.1.0

Ochrana důvěrnosti / integrity pomocí šifrování

ID: FedRAMP High AC-17 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Upozorňovat uživatele na přihlášení k systému nebo přístup CMA_0382 – Upozorněte uživatele na přihlášení nebo přístup k systému Ručně, zakázáno 1.1.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0

Spravované body řízení přístupu

ID: FedRAMP High AC-17 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Směrování provozu přes spravované síťové přístupové body CMA_0484 – Směrování provozu přes spravované síťové přístupové body Ručně, zakázáno 1.1.0

Privilegované příkazy / přístup

ID: FedRAMP High AC-17 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace vzdáleného přístupu CMA_0024 – Autorizace vzdáleného přístupu Ručně, zakázáno 1.1.0
Autorizace vzdáleného přístupu k privilegovaným příkazům CMA_C1064 – Autorizace vzdáleného přístupu k privilegovaným příkazům Ručně, zakázáno 1.1.0
Zdokumentovat pokyny pro vzdálený přístup CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit Ručně, zakázáno 1.1.0
Poskytnutí školení k ochraně osobních údajů CMA_0415 – poskytování školení k ochraně osobních údajů Ručně, zakázáno 1.1.0

Odpojit nebo zakázat přístup

ID: FedRAMP High AC-17 (9) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Poskytnutí možnosti odpojení nebo zakázání vzdáleného přístupu CMA_C1066 – Poskytnutí možnosti odpojení nebo zakázání vzdáleného přístupu Ručně, zakázáno 1.1.0

Bezdrátový přístup

ID: FedRAMP High AC-18 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentujte a implementujte pokyny pro bezdrátový přístup CMA_0190 – Dokument a implementace pokynů pro bezdrátový přístup Ručně, zakázáno 1.1.0
Ochrana bezdrátového přístupu CMA_0411 – Ochrana bezdrátového přístupu Ručně, zakázáno 1.1.0

Ověřování a šifrování

ID: FedRAMP High AC-18 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentujte a implementujte pokyny pro bezdrátový přístup CMA_0190 – Dokument a implementace pokynů pro bezdrátový přístup Ručně, zakázáno 1.1.0
Identifikace a ověřování síťových zařízení CMA_0296 – Identifikace a ověřování síťových zařízení Ručně, zakázáno 1.1.0
Ochrana bezdrátového přístupu CMA_0411 – Ochrana bezdrátového přístupu Ručně, zakázáno 1.1.0

Řízení přístupu pro mobilní zařízení

ID: FedRAMP High AC-19 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování požadavků na mobilní zařízení CMA_0122 – Definování požadavků na mobilní zařízení Ručně, zakázáno 1.1.0

Úplné šifrování na základě zařízení / kontejneru

ID: FedRAMP High AC-19 (5) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování požadavků na mobilní zařízení CMA_0122 – Definování požadavků na mobilní zařízení Ručně, zakázáno 1.1.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0

Použití externích informačních systémů

ID: FedRAMP High AC-20 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Stanovení podmínek a ujednání pro přístup k prostředkům CMA_C1076 – Vytvoření podmínek a ujednání pro přístup k prostředkům Ručně, zakázáno 1.1.0
Stanovení podmínek a ujednání pro zpracování prostředků CMA_C1077 – Stanovení podmínek a ujednání pro zpracování prostředků Ručně, zakázáno 1.1.0

Omezení autorizovaného použití

ID: FedRAMP High AC-20 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ověření bezpečnostních prvků pro externí informační systémy CMA_0541 – Ověření bezpečnostních prvků pro externí informační systémy Ručně, zakázáno 1.1.0

Přenosná úložná zařízení

ID: FedRAMP High AC-20 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Řízení používání přenosných úložných zařízení CMA_0083 – řízení používání přenosných úložných zařízení Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0

Sdílení informací

ID: FedRAMP High AC-21 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Automatizace rozhodnutí o sdílení informací CMA_0028 – Automatizace rozhodování o sdílení informací Ručně, zakázáno 1.1.0
Usnadnění sdílení informací CMA_0284 – usnadnění sdílení informací Ručně, zakázáno 1.1.0

Veřejně přístupný obsah

ID: FedRAMP High AC-22 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Určení autorizovaných pracovníků k publikování veřejně přístupných informací CMA_C1083 – Určení autorizovaných pracovníků k publikování veřejně přístupných informací Ručně, zakázáno 1.1.0
Kontrola obsahu před publikováním veřejně přístupných informací CMA_C1085 – Kontrola obsahu před publikováním veřejně přístupných informací Ručně, zakázáno 1.1.0
Kontrola veřejně přístupného obsahu pro neveřejné informace CMA_C1086 – Kontrola veřejně přístupného obsahu pro neveřejné informace Ručně, zakázáno 1.1.0
Trénování pracovníků o zpřístupnění nepublikovaných informací CMA_C1084 – trénování pracovníků o zpřístupnění nepublikovaných informací Ručně, zakázáno 1.1.0

Povědomí a školení

Zásady zvyšování povědomí o zabezpečení a školení

ID: FedRAMP High AT-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentování aktivit školení zabezpečení a ochrany osobních údajů CMA_0198 – zdokumentování aktivit školení zabezpečení a ochrany osobních údajů Ručně, zakázáno 1.1.0
Aktualizace zásad zabezpečení informací CMA_0518 – aktualizace zásad zabezpečení informací Ručně, zakázáno 1.1.0

Školení ke zvyšování povědomí o zabezpečení

ID: FedRAMP High AT-2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zajištění pravidelného školení pro zvyšování povědomí o zabezpečení CMA_C1091 – zajištění pravidelného školení pro zvyšování povědomí o zabezpečení Ručně, zakázáno 1.1.0
Zajištění školení zabezpečení pro nové uživatele CMA_0419 – poskytování školení zabezpečení pro nové uživatele Ručně, zakázáno 1.1.0
Zajištění aktualizovaného školení pro zvyšování povědomí o zabezpečení CMA_C1090 – poskytování aktualizovaného školení pro zvyšování povědomí o zabezpečení Ručně, zakázáno 1.1.0

Insider Threat

ID: Vlastnictví FedRAMP High AT-2 (2): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zajištění školení o povědomí o zabezpečení pro vnitřní hrozby CMA_0417 – poskytování školení pro zvyšování povědomí o zabezpečení pro vnitřní hrozby Ručně, zakázáno 1.1.0

Školení zabezpečení na základě rolí

ID: FedRAMP High AT-3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zajištění pravidelného trénování zabezpečení na základě rolí CMA_C1095 – zajištění pravidelného trénování zabezpečení na základě rolí Ručně, zakázáno 1.1.0
Poskytnutí trénování zabezpečení na základě rolí CMA_C1094 – Poskytování školení zabezpečení na základě rolí Ručně, zakázáno 1.1.0
Zajištění školení zabezpečení před poskytnutím přístupu CMA_0418 – zajištění školení zabezpečení před poskytnutím přístupu Ručně, zakázáno 1.1.0

Praktická cvičení

ID: Vlastnictví FedRAMP High AT-3 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Poskytnutí praktických cvičení založených na rolích CMA_C1096 – poskytování praktických cvičení založených na rolích Ručně, zakázáno 1.1.0

Podezřelé chování komunikace a neobvyklého systémového chování

ID: FedRAMP High AT-3 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Poskytování trénování na základě rolí na podezřelých aktivitách CMA_C1097 – poskytování trénování na základě role na podezřelých aktivitách Ručně, zakázáno 1.1.0

Záznamy školení zabezpečení

ID: FedRAMP High AT-4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentování aktivit školení zabezpečení a ochrany osobních údajů CMA_0198 – zdokumentování aktivit školení zabezpečení a ochrany osobních údajů Ručně, zakázáno 1.1.0
Monitorování dokončení školení zabezpečení a ochrany osobních údajů CMA_0379 – Monitorování dokončení školení zabezpečení a ochrany osobních údajů Ručně, zakázáno 1.1.0
Zachování trénovacích záznamů CMA_0456 – Zachování trénovacích záznamů Ručně, zakázáno 1.1.0

Audit a odpovědnost

Zásady a postupy auditu a odpovědnosti

ID: FedRAMP High AU-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj zásad a postupů auditu a odpovědnosti CMA_0154 – vývoj zásad a postupů auditu a odpovědnosti Ručně, zakázáno 1.1.0
Vývoj zásad a postupů zabezpečení informací CMA_0158 – Vývoj zásad a postupů zabezpečení informací Ručně, zakázáno 1.1.0
Řízení zásad a postupů CMA_0292 – Řízení zásad a postupů Ručně, zakázáno 1.1.0
Aktualizace zásad zabezpečení informací CMA_0518 – aktualizace zásad zabezpečení informací Ručně, zakázáno 1.1.0

Událostí auditu

ID: FedRAMP High AU-2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0

Recenze a aktualizace

ID: FedRAMP High AU-2 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace událostí definovaných v AU-02 CMA_C1106 – Kontrola a aktualizace událostí definovaných v AU-02 Ručně, zakázáno 1.1.0

Obsah záznamů auditu

ID: FedRAMP High AU-3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0

Další informace o auditu

ID: FedRAMP High AU-3 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Konfigurace možností auditu Azure CMA_C1108 – Konfigurace možností auditu Azure Ručně, zakázáno 1.1.1

Auditovat kapacitu úložiště

ID: FedRAMP High AU-4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení a monitorování aktivit zpracování auditu CMA_0289 – Řízení a monitorování aktivit zpracování auditu Ručně, zakázáno 1.1.0

Reakce na selhání zpracování auditu

ID: FedRAMP High AU-5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení a monitorování aktivit zpracování auditu CMA_0289 – Řízení a monitorování aktivit zpracování auditu Ručně, zakázáno 1.1.0

Výstrahy v reálném čase

ID: FedRAMP High AU-5 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Poskytování výstrah v reálném čase pro selhání událostí auditu CMA_C1114 – poskytování výstrah v reálném čase pro selhání událostí auditu Ručně, zakázáno 1.1.0

Kontrola auditu, analýza a generování sestav

ID: FedRAMP High AU-6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, zakázáno 6.0.0-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-preview
Služba Azure Defender for App Service by měla být povolená. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, zakázáno 1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Služba Azure Defender for Key Vault by měla být povolená. Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender for Resource Manager by měl být povolený. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Korelace záznamů auditu CMA_0087 – Korelace záznamů auditu Ručně, zakázáno 1.1.0
Stanovení požadavků na kontrolu auditu a vytváření sestav CMA_0277 – Vytvoření požadavků na kontrolu auditu a vytváření sestav Ručně, zakázáno 1.1.0
Integrace kontroly auditu, analýzy a generování sestav CMA_0339 – Integrace kontroly auditu, analýzy a generování sestav Ručně, zakázáno 1.1.0
Integrace zabezpečení cloudových aplikací se siem CMA_0340 – Integrace zabezpečení cloudových aplikací se siem Ručně, zakázáno 1.1.0
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Měl by být povolený Microsoft Defender pro úložiště. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, zakázáno 1.0.0
Služba Network Watcher by měla být povolená. Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. AuditIfNotExists, zakázáno 3.0.0
Kontrola protokolů zřizování účtů CMA_0460 – Kontrola protokolů zřizování účtů Ručně, zakázáno 1.1.0
Týdenní kontrola přiřazení správců CMA_0461 – týdenní kontrola přiřazení správců Ručně, zakázáno 1.1.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0
Přehled sestavy cloudových identit CMA_0468 – Přehled sestav cloudových identit Ručně, zakázáno 1.1.0
Kontrola událostí přístupu k řízeným složkům CMA_0471 – Kontrola kontrolovaných událostí přístupu ke složce Ručně, zakázáno 1.1.0
Kontrola aktivity souborů a složek CMA_0473 – Kontrola aktivity souborů a složek Ručně, zakázáno 1.1.0
Týdenní kontrola změn skupin rolí CMA_0476 – týdenní kontrola změn skupin rolí Ručně, zakázáno 1.1.0

Integrace procesů

ID: FedRAMP High AU-6 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Korelace záznamů auditu CMA_0087 – Korelace záznamů auditu Ručně, zakázáno 1.1.0
Stanovení požadavků na kontrolu auditu a vytváření sestav CMA_0277 – Vytvoření požadavků na kontrolu auditu a vytváření sestav Ručně, zakázáno 1.1.0
Integrace kontroly auditu, analýzy a generování sestav CMA_0339 – Integrace kontroly auditu, analýzy a generování sestav Ručně, zakázáno 1.1.0
Integrace zabezpečení cloudových aplikací se siem CMA_0340 – Integrace zabezpečení cloudových aplikací se siem Ručně, zakázáno 1.1.0
Kontrola protokolů zřizování účtů CMA_0460 – Kontrola protokolů zřizování účtů Ručně, zakázáno 1.1.0
Týdenní kontrola přiřazení správců CMA_0461 – týdenní kontrola přiřazení správců Ručně, zakázáno 1.1.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0
Přehled sestavy cloudových identit CMA_0468 – Přehled sestav cloudových identit Ručně, zakázáno 1.1.0
Kontrola událostí přístupu k řízeným složkům CMA_0471 – Kontrola kontrolovaných událostí přístupu ke složce Ručně, zakázáno 1.1.0
Kontrola aktivity souborů a složek CMA_0473 – Kontrola aktivity souborů a složek Ručně, zakázáno 1.1.0
Týdenní kontrola změn skupin rolí CMA_0476 – týdenní kontrola změn skupin rolí Ručně, zakázáno 1.1.0

Korelace úložišť auditu

ID: FedRAMP High AU-6 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Korelace záznamů auditu CMA_0087 – Korelace záznamů auditu Ručně, zakázáno 1.1.0
Integrace zabezpečení cloudových aplikací se siem CMA_0340 – Integrace zabezpečení cloudových aplikací se siem Ručně, zakázáno 1.1.0

Centrální kontrola a analýza

ID: FedRAMP High AU-6 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, zakázáno 6.0.0-preview
[Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1-preview
[Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-preview
Aplikace App Service by měly mít povolené protokoly prostředků. Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 2.0.1
Auditování na SQL Serveru by mělo být povolené. Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. AuditIfNotExists, zakázáno 2.0.0
Služba Azure Defender for App Service by měla být povolená. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, zakázáno 1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Služba Azure Defender for Key Vault by měla být povolená. Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender for Resource Manager by měl být povolený. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. AuditIfNotExists, zakázáno 1.0.3
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Měl by být povolený Microsoft Defender pro úložiště. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, zakázáno 1.0.0
Služba Network Watcher by měla být povolená. Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. AuditIfNotExists, zakázáno 3.0.0
Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v účtech Batch by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v centru událostí by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě IoT Hub by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 3.1.0
Protokoly prostředků ve službě Key Vault by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v Logic Apps by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.1.0
Protokoly prostředků v Search by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Service Bus by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol AuditIfNotExists, zakázáno 1.0.1

Integrace / kontrola a monitorování možností

ID: FedRAMP High AU-6 (5) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, zakázáno 6.0.0-preview
[Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1-preview
[Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-preview
Aplikace App Service by měly mít povolené protokoly prostředků. Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 2.0.1
Auditování na SQL Serveru by mělo být povolené. Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. AuditIfNotExists, zakázáno 2.0.0
Služba Azure Defender for App Service by měla být povolená. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, zakázáno 1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Služba Azure Defender for Key Vault by měla být povolená. Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender for Resource Manager by měl být povolený. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. AuditIfNotExists, zakázáno 1.0.3
Integrace analýzy záznamů auditu CMA_C1120 – Integrace analýzy záznamů auditu Ručně, zakázáno 1.1.0
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Měl by být povolený Microsoft Defender pro úložiště. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, zakázáno 1.0.0
Služba Network Watcher by měla být povolená. Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. AuditIfNotExists, zakázáno 3.0.0
Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v účtech Batch by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v centru událostí by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě IoT Hub by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 3.1.0
Protokoly prostředků ve službě Key Vault by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v Logic Apps by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.1.0
Protokoly prostředků v Search by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Service Bus by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol AuditIfNotExists, zakázáno 1.0.1

Povolené akce

ID: FedRAMP High AU-6 (7) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Určení povolených akcí přidružených k informacím o auditu zákazníka CMA_C1122 – Určení povolených akcí přidružených k informacím o auditu zákazníka Ručně, zakázáno 1.1.0

Úprava na úrovni auditu

ID: FedRAMP High AU-6 (10) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Úprava úrovně kontroly auditu, analýzy a generování sestav CMA_C1123 – Úprava úrovně kontroly auditu, analýzy a generování sestav Ručně, zakázáno 1.1.0

Snížení auditování a generování sestav

ID: FedRAMP High AU-7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ujistěte se, že záznamy auditu nejsou změněné. CMA_C1125 – Ujistěte se, že záznamy auditu nejsou změněné. Ručně, zakázáno 1.1.0
Zajištění kontroly auditu, analýzy a vytváření sestav CMA_C1124 – poskytování kontroly auditu, analýzy a vytváření sestav Ručně, zakázáno 1.1.0

Automatické zpracování

ID: FedRAMP High AU-7 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Poskytování možností zpracování záznamů auditu kontrolovaných zákazníkem CMA_C1126 – poskytování možností zpracování záznamů auditu kontrolovaných zákazníkem Ručně, zakázáno 1.1.0

Časová razítka

ID: FedRAMP High AU-8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Použití systémových hodin pro záznamy auditu CMA_0535 – Použití systémových hodin pro záznamy auditu Ručně, zakázáno 1.1.0

Synchronizace s autoritativním zdrojem času

ID: FedRAMP High AU-8 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Použití systémových hodin pro záznamy auditu CMA_0535 – Použití systémových hodin pro záznamy auditu Ručně, zakázáno 1.1.0

Ochrana informací o auditu

ID: FedRAMP High AU-9 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Povolení duální nebo společné autorizace CMA_0226 – Povolení duálního nebo společného autorizace Ručně, zakázáno 1.1.0
Ochrana informací o auditu CMA_0401 – Ochrana informací o auditu Ručně, zakázáno 1.1.0

Audit zálohování na samostatných fyzických systémech nebo komponentách

ID: FedRAMP High AU-9 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření zásad a postupů zálohování CMA_0268 – Vytvoření zásad a postupů zálohování Ručně, zakázáno 1.1.0

Kryptografická ochrana

ID: FedRAMP High AU-9 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zachování integrity systému auditu CMA_C1133 – zachování integrity systému auditu Ručně, zakázáno 1.1.0

Přístup podle podmnožina privilegovaných uživatelů

ID: FedRAMP High AU-9 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ochrana informací o auditu CMA_0401 – Ochrana informací o auditu Ručně, zakázáno 1.1.0

Neodvolatelnost

ID: FedRAMP High AU-10 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Stanovení požadavků na elektronický podpis a certifikát CMA_0271 – Stanovení požadavků na elektronický podpis a certifikát Ručně, zakázáno 1.1.0

Uchovávání záznamů auditu

ID: FedRAMP High AU-11 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Dodržování definovaných období uchovávání CMA_0004 – dodržování definovaných období uchovávání Ručně, zakázáno 1.1.0
Zachování zásad a postupů zabezpečení CMA_0454 – Zachování zásad a postupů zabezpečení Ručně, zakázáno 1.1.0
Zachování ukončených uživatelských dat CMA_0455 – Zachování ukončených uživatelských dat Ručně, zakázáno 1.1.0
SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Serveru na cíl účtu úložiště na nejméně 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů. AuditIfNotExists, zakázáno 3.0.0

Generování auditu

ID: FedRAMP High AU-12 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, zakázáno 6.0.0-preview
[Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1-preview
[Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-preview
Aplikace App Service by měly mít povolené protokoly prostředků. Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 2.0.1
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Auditování na SQL Serveru by mělo být povolené. Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. AuditIfNotExists, zakázáno 2.0.0
Služba Azure Defender for App Service by měla být povolená. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, zakázáno 1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Služba Azure Defender for Key Vault by měla být povolená. Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender for Resource Manager by měl být povolený. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. AuditIfNotExists, zakázáno 1.0.3
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Měl by být povolený Microsoft Defender pro úložiště. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, zakázáno 1.0.0
Služba Network Watcher by měla být povolená. Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. AuditIfNotExists, zakázáno 3.0.0
Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v účtech Batch by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v centru událostí by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě IoT Hub by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 3.1.0
Protokoly prostředků ve službě Key Vault by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v Logic Apps by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.1.0
Protokoly prostředků v Search by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Service Bus by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol AuditIfNotExists, zakázáno 1.0.1

Záznam auditu korelovaný pro celý systém / čas

ID: FedRAMP High AU-12 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, zakázáno 6.0.0-preview
[Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1-preview
[Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-preview
Aplikace App Service by měly mít povolené protokoly prostředků. Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 2.0.1
Auditování na SQL Serveru by mělo být povolené. Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. AuditIfNotExists, zakázáno 2.0.0
Služba Azure Defender for App Service by měla být povolená. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, zakázáno 1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Služba Azure Defender for Key Vault by měla být povolená. Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender for Resource Manager by měl být povolený. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Kompilace záznamů auditu do systémového auditu CMA_C1140 – Kompilace záznamů auditu do celého systému auditu Ručně, zakázáno 1.1.0
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. AuditIfNotExists, zakázáno 1.0.3
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Měl by být povolený Microsoft Defender pro úložiště. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, zakázáno 1.0.0
Služba Network Watcher by měla být povolená. Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. AuditIfNotExists, zakázáno 3.0.0
Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v účtech Batch by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v centru událostí by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě IoT Hub by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 3.1.0
Protokoly prostředků ve službě Key Vault by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků v Logic Apps by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.1.0
Protokoly prostředků v Search by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Protokoly prostředků ve službě Service Bus by měly být povolené. Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě AuditIfNotExists, zakázáno 5.0.0
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol AuditIfNotExists, zakázáno 1.0.1

Změny autorizovanými osobami

ID: FedRAMP High AU-12 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Poskytnutí možnosti rozšíření nebo omezení auditování prostředků nasazených zákazníkem CMA_C1141 – Poskytnutí možnosti rozšíření nebo omezení auditování prostředků nasazených zákazníkem Ručně, zakázáno 1.1.0

Posouzení a autorizace zabezpečení

Zásady a postupy posouzení zabezpečení a autorizace

ID: FedRAMP High CA-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola zásad a postupů posouzení zabezpečení a autorizace CMA_C1143 – Kontrola zásad a postupů a zásad autorizace zabezpečení Ručně, zakázáno 1.1.0

Posouzení zabezpečení

ID: FedRAMP High CA-2 Ownership: Shared

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Posouzení bezpečnostních prvků CMA_C1145 – posouzení bezpečnostních prvků Ručně, zakázáno 1.1.0
Doručování výsledků posouzení zabezpečení CMA_C1147 – Poskytování výsledků posouzení zabezpečení Ručně, zakázáno 1.1.0
Vývoj plánu posouzení zabezpečení CMA_C1144 – Vývoj plánu posouzení zabezpečení Ručně, zakázáno 1.1.0
Vytvoření sestavy posouzení zabezpečení CMA_C1146 – Vytvoření sestavy posouzení zabezpečení Ručně, zakázáno 1.1.0

Nezávislí hodnotitelé

ID: Vlastnictví FedRAMP High CA-2 (1) : Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zaměstnat nezávislé hodnotitelé k provádění posouzení kontroly zabezpečení CMA_C1148 – zaměstnat nezávislé hodnotitelé k provádění posouzení kontroly zabezpečení Ručně, zakázáno 1.1.0

Specializovaná hodnocení

ID: Vlastnictví FedRAMP High CA-2 (2): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Výběr dalšího testování pro posouzení kontroly zabezpečení CMA_C1149 – Výběr dalšího testování pro posouzení kontroly zabezpečení Ručně, zakázáno 1.1.0

Externí organizace

ID: Vlastnictví FedRAMP High CA-2 (3): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přijetí výsledků posouzení CMA_C1150 – Přijetí výsledků posouzení Ručně, zakázáno 1.1.0

Propojení systému

ID: FedRAMP High CA-3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vyžadování smluv o zabezpečení propojení CMA_C1151 – Vyžadovat dohody o zabezpečení propojení Ručně, zakázáno 1.1.0
Aktualizace smluv o zabezpečení propojení CMA_0519 – aktualizace dohod o zabezpečení propojení Ručně, zakázáno 1.1.0

Neotříděná připojení jiných než národních systémů zabezpečení

ID: Vlastnictví FedRAMP High CA-3 (3): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace ochrany hranic systému CMA_0328 – Implementace ochrany hranic systému Ručně, zakázáno 1.1.0

Omezení připojení externího systému

ID: Vlastnictví FedRAMP High CA-3 (5) : Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Využívání omezení propojení externích systémů CMA_C1155 – zaměstnat omezení pro propojení externích systémů Ručně, zakázáno 1.1.0

Plán akcí a milníků

ID: FedRAMP High CA-5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj POA&M CMA_C1156 – Vývoj POA&M Ručně, zakázáno 1.1.0
Aktualizace položek POA&M CMA_C1157 – Aktualizace položek POA&M Ručně, zakázáno 1.1.0

Autorizace zabezpečení

ID: FedRAMP High CA-6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přiřazení autorizačního úřadu (AO) CMA_C1158 – přiřazení autorizačního úřadu (AO) Ručně, zakázáno 1.1.0
Ujistěte se, že jsou prostředky autorizované. CMA_C1159 – Ujistěte se, že jsou prostředky autorizované. Ručně, zakázáno 1.1.0
Aktualizace autorizace zabezpečení CMA_C1160 – aktualizace autorizace zabezpečení Ručně, zakázáno 1.1.0

Průběžné monitorování

ID: FedRAMP High CA-7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Konfigurace seznamu povolených zjišťování CMA_0068 – Konfigurace seznamu povolených zjišťování Ručně, zakázáno 1.1.0
Zapnutí senzorů pro řešení zabezpečení koncových bodů CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů Ručně, zakázáno 1.1.0
Projít nezávislou kontrolou zabezpečení CMA_0515 – Projděte si nezávislou kontrolu zabezpečení Ručně, zakázáno 1.1.0

Nezávislé posouzení

ID: FedRAMP High CA-7 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Využití nezávislých vyhodnocovačů pro průběžné monitorování CMA_C1168 – zaměstnat nezávislé hodnotitelé pro průběžné monitorování Ručně, zakázáno 1.1.0

Analýzy trendů

ID: Vlastnictví FedRAMP High CA-7 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Analýza dat získaných z průběžného monitorování CMA_C1169 – Analýza dat získaných z průběžného monitorování Ručně, zakázáno 1.1.0

Nezávislý penetrační agent nebo tým

ID: Vlastnictví FedRAMP High CA-8 (1) : Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Využití nezávislého týmu pro penetrační testování CMA_C1171 – zaměstnat nezávislý tým pro penetrační testování Ručně, zakázáno 1.1.0

Interní systémová připojení

ID: FedRAMP High CA-9 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Před vytvořením interních připojení zkontrolujte dodržování předpisů v oblasti ochrany osobních údajů a zabezpečení. CMA_0053 – Před vytvořením interních připojení zkontrolujte dodržování předpisů v oblasti ochrany osobních údajů a zabezpečení. Ručně, zakázáno 1.1.0

Správa konfigurace

Zásady a postupy správy konfigurace

ID: FedRAMP High CM-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace zásad a postupů správy konfigurace CMA_C1175 – Kontrola a aktualizace zásad a postupů správy konfigurace Ručně, zakázáno 1.1.0

Standardní konfigurace

ID: FedRAMP High CM-2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Konfigurace akcí pro zařízení nedodržující předpisy CMA_0062 – Konfigurace akcí pro zařízení nedodržující předpisy Ručně, zakázáno 1.1.0
Vývoj a údržba standardních konfigurací CMA_0153 – Vývoj a údržba standardních konfigurací Ručně, zakázáno 1.1.0
Vynucení nastavení konfigurace zabezpečení CMA_0249 – Vynucení nastavení konfigurace zabezpečení Ručně, zakázáno 1.1.0
Vytvoření řídicí desky konfigurace CMA_0254 – Vytvoření řídicí desky konfigurace Ručně, zakázáno 1.1.0
Vytvoření a zdokumentování plánu správy konfigurace CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace Ručně, zakázáno 1.1.0
Implementace automatizovaného nástroje pro správu konfigurace CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace Ručně, zakázáno 1.1.0

Podpora automatizace pro přesnost / měnu

ID: Vlastnictví FedRAMP High CM-2 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Konfigurace akcí pro zařízení nedodržující předpisy CMA_0062 – Konfigurace akcí pro zařízení nedodržující předpisy Ručně, zakázáno 1.1.0
Vývoj a údržba standardních konfigurací CMA_0153 – Vývoj a údržba standardních konfigurací Ručně, zakázáno 1.1.0
Vynucení nastavení konfigurace zabezpečení CMA_0249 – Vynucení nastavení konfigurace zabezpečení Ručně, zakázáno 1.1.0
Vytvoření řídicí desky konfigurace CMA_0254 – Vytvoření řídicí desky konfigurace Ručně, zakázáno 1.1.0
Vytvoření a zdokumentování plánu správy konfigurace CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace Ručně, zakázáno 1.1.0
Implementace automatizovaného nástroje pro správu konfigurace CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace Ručně, zakázáno 1.1.0

Uchovávání předchozích konfigurací

ID: FedRAMP High CM-2 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zachování předchozích verzí standardních konfigurací CMA_C1181 – Zachování předchozích verzí standardních konfigurací Ručně, zakázáno 1.1.0

Konfigurace systémů, komponent nebo zařízení pro vysoce rizikové oblasti

ID: Vlastnictví FedRAMP High CM-2 (7) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zajištění bezpečnostních záruk, které nejsou potřeba, když se jednotlivci vrátí CMA_C1183 – zajištění bezpečnostních záruk, které nejsou potřeba, když se jednotlivci vrátí Ručně, zakázáno 1.1.0
Neumožňuje, aby informační systémy doprovázely jednotlivce CMA_C1182 – nepovoluje, aby informační systémy doprovázely jednotlivce Ručně, zakázáno 1.1.0

Řízení změn konfigurace

ID: FedRAMP High CM-3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Analýza dopadu na zabezpečení CMA_0057 – Provedení analýzy dopadu na zabezpečení Ručně, zakázáno 1.1.0
Vývoj a údržba standardu správa ohrožení zabezpečení CMA_0152 – vývoj a údržba standardu správa ohrožení zabezpečení Ručně, zakázáno 1.1.0
Vytvoření strategie řízení rizik CMA_0258 – Vytvoření strategie řízení rizik Ručně, zakázáno 1.1.0
Vytvoření a řízení změn dokumentů CMA_0265 – vytvoření a řízení změn dokumentů Ručně, zakázáno 1.1.0
Stanovení požadavků na správu konfigurace pro vývojáře CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře Ručně, zakázáno 1.1.0
Posouzení dopadu ochrany osobních údajů CMA_0387 – provedení posouzení dopadu ochrany osobních údajů Ručně, zakázáno 1.1.0
Provedení posouzení rizik CMA_0388 – provedení posouzení rizik Ručně, zakázáno 1.1.0
Provedení auditu pro řízení změn konfigurace CMA_0390 – provedení auditu řízení změn konfigurace Ručně, zakázáno 1.1.0

Automatizovaný dokument / oznámení / zákaz změn

ID: FedRAMP High CM-3 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Automatizace žádosti o schválení pro navrhované změny CMA_C1192 – Automatizace žádosti o schválení navrhovaných změn Ručně, zakázáno 1.1.0
Automatizace implementace schválených oznámení o změnách CMA_C1196 – Automatizace implementace schválených oznámení o změnách Ručně, zakázáno 1.1.0
Automatizace procesu do dokumentu implementovaných změn CMA_C1195 – Automatizace procesu pro dokumentaci implementovaných změn Ručně, zakázáno 1.1.0
Automatizace procesu zvýrazňování nerevidovaných návrhů změn CMA_C1193 – Automatizace procesu zvýrazňování nerevidovaných návrhů změn Ručně, zakázáno 1.1.0
Automatizace procesu, který zakáže implementaci neschválené změny CMA_C1194 – Automatizace procesu, který zakáže implementaci neschválené změny Ručně, zakázáno 1.1.0
Automatizace navrhovaných dokumentovaných změn CMA_C1191 – Automatizace navrhovaných dokumentovaných změn Ručně, zakázáno 1.1.0

Testování/ ověření / změny dokumentu

ID: FedRAMP High CM-3 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření a řízení změn dokumentů CMA_0265 – vytvoření a řízení změn dokumentů Ručně, zakázáno 1.1.0
Stanovení požadavků na správu konfigurace pro vývojáře CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře Ručně, zakázáno 1.1.0
Provedení auditu pro řízení změn konfigurace CMA_0390 – provedení auditu řízení změn konfigurace Ručně, zakázáno 1.1.0

Zástupce zabezpečení

ID: FedRAMP High CM-3 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přiřazení zástupce pro zabezpečení informací pro změnu řízení CMA_C1198 – přiřazení zástupce pro zabezpečení informací ke změně řízení Ručně, zakázáno 1.1.0

Správa kryptografie

ID: FedRAMP High CM-3 (6) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ujistěte se, že jsou kryptografické mechanismy pod správou konfigurace. CMA_C1199 – Ujistěte se, že jsou kryptografické mechanismy pod správou konfigurace. Ručně, zakázáno 1.1.0

Analýza dopadu na zabezpečení

ID: FedRAMP High CM-4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Analýza dopadu na zabezpečení CMA_0057 – Provedení analýzy dopadu na zabezpečení Ručně, zakázáno 1.1.0
Vývoj a údržba standardu správa ohrožení zabezpečení CMA_0152 – vývoj a údržba standardu správa ohrožení zabezpečení Ručně, zakázáno 1.1.0
Vytvoření strategie řízení rizik CMA_0258 – Vytvoření strategie řízení rizik Ručně, zakázáno 1.1.0
Vytvoření a řízení změn dokumentů CMA_0265 – vytvoření a řízení změn dokumentů Ručně, zakázáno 1.1.0
Stanovení požadavků na správu konfigurace pro vývojáře CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře Ručně, zakázáno 1.1.0
Posouzení dopadu ochrany osobních údajů CMA_0387 – provedení posouzení dopadu ochrany osobních údajů Ručně, zakázáno 1.1.0
Provedení posouzení rizik CMA_0388 – provedení posouzení rizik Ručně, zakázáno 1.1.0
Provedení auditu pro řízení změn konfigurace CMA_0390 – provedení auditu řízení změn konfigurace Ručně, zakázáno 1.1.0

Samostatná testovací prostředí

ID: FedRAMP High CM-4 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Analýza dopadu na zabezpečení CMA_0057 – Provedení analýzy dopadu na zabezpečení Ručně, zakázáno 1.1.0
Vytvoření a řízení změn dokumentů CMA_0265 – vytvoření a řízení změn dokumentů Ručně, zakázáno 1.1.0
Stanovení požadavků na správu konfigurace pro vývojáře CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře Ručně, zakázáno 1.1.0
Posouzení dopadu ochrany osobních údajů CMA_0387 – provedení posouzení dopadu ochrany osobních údajů Ručně, zakázáno 1.1.0
Provedení auditu pro řízení změn konfigurace CMA_0390 – provedení auditu řízení změn konfigurace Ručně, zakázáno 1.1.0

Omezení přístupu pro změnu

ID: FedRAMP High CM-5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření a řízení změn dokumentů CMA_0265 – vytvoření a řízení změn dokumentů Ručně, zakázáno 1.1.0

Automatizované vynucování přístupu / auditování

ID: FedRAMP High CM-5 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vynucení a audit omezení přístupu CMA_C1203 – Vynucení a audit omezení přístupu Ručně, zakázáno 1.1.0

Kontrola systémových změn

ID: Vlastnictví FedRAMP High CM-5 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola změn neautorizovaných změn CMA_C1204 – Kontrola změn neautorizovaných změn Ručně, zakázáno 1.1.0

Podepsané komponenty

ID: FedRAMP High CM-5 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Omezení neoprávněné instalace softwaru a firmwaru CMA_C1205 – Omezení neoprávněné instalace softwaru a firmwaru Ručně, zakázáno 1.1.0

Omezení produkčních nebo provozních oprávnění

ID: FedRAMP High CM-5 (5) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Omezení oprávnění k provádění změn v produkčním prostředí CMA_C1206 – Omezení oprávnění k provádění změn v produkčním prostředí Ručně, zakázáno 1.1.0
Kontrola a opětovné posouzení oprávnění CMA_C1207 – Kontrola a opětovné posouzení oprávnění Ručně, zakázáno 1.1.0

Nastavení konfigurace

ID: FedRAMP High CM-6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. AuditIfNotExists, zakázáno 1.0.0
Aplikace app Service by měly mít vypnuté vzdálené ladění Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 2.0.0
Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. AuditIfNotExists, zakázáno 2.0.0
Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. Doplněk Azure Policy pro službu Kubernetes Service (AKS) rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby v clusterech použil centralizované a konzistentní zabezpečení vynucování ve velkém měřítku a bezpečnostní opatření. Audit, zakázáno 1.0.2
Vynucení nastavení konfigurace zabezpečení CMA_0249 – Vynucení nastavení konfigurace zabezpečení Ručně, zakázáno 1.1.0
Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. AuditIfNotExists, zakázáno 1.0.0
Aplikace funkcí by měly mít vypnuté vzdálené ladění. Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. AuditIfNotExists, zakázáno 2.0.0
Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. AuditIfNotExists, zakázáno 2.0.0
Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 9.3.0
Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 5.2.0
Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Kontejnery clusteru Kubernetes by měly používat jenom povolené image. Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 9.3.0
Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.3.0
Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 6.2.0
Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 8.2.0
Cluster Kubernetes by neměl umožňovat privilegované kontejnery. Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 9.2.0
Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 7.2.0
Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. AuditIfNotExists, zakázáno 2.2.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0
Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. AuditIfNotExists, zakázáno 2.0.0

Automatizovaná centrální správa / aplikace / ověření

ID: FedRAMP High CM-6 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vynucení nastavení konfigurace zabezpečení CMA_0249 – Vynucení nastavení konfigurace zabezpečení Ručně, zakázáno 1.1.0
Řízení dodržování předpisů poskytovatelů cloudových služeb CMA_0290 – Řízení dodržování předpisů poskytovatelů cloudových služeb Ručně, zakázáno 1.1.0
Zobrazení a konfigurace diagnostických dat systému CMA_0544 – Zobrazení a konfigurace diagnostických dat systému Ručně, zakázáno 1.1.0

Nejnižší funkčnost

ID: FedRAMP High CM-7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3

Inventář komponent informačního systému

ID: FedRAMP High CM-8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření inventáře dat CMA_0096 – Vytvoření inventáře dat Ručně, zakázáno 1.1.0
Udržovat záznamy o zpracování osobních údajů CMA_0353 - Udržování záznamů o zpracování osobních údajů Ručně, zakázáno 1.1.0

Aktualizace během instalací / odebrání

ID: Vlastnictví FedRAMP High CM-8 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření inventáře dat CMA_0096 – Vytvoření inventáře dat Ručně, zakázáno 1.1.0
Udržovat záznamy o zpracování osobních údajů CMA_0353 - Udržování záznamů o zpracování osobních údajů Ručně, zakázáno 1.1.0

Automatizovaná detekce neautorizovaných komponent

ID: FedRAMP High CM-8 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Povolení detekce síťových zařízení CMA_0220 – Povolení detekce síťových zařízení Ručně, zakázáno 1.1.0
Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci Ručně, zakázáno 1.1.0

Informace o odpovědnosti

ID: Vlastnictví FedRAMP High CM-8 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření inventáře dat CMA_0096 – Vytvoření inventáře dat Ručně, zakázáno 1.1.0
Vytvoření a údržba inventáře aktiv CMA_0266 – Vytvoření a údržba inventáře prostředků Ručně, zakázáno 1.1.0

Plán správy konfigurace

ID: FedRAMP High CM-9 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření ochrany plánu konfigurace CMA_C1233 – Vytvoření ochrany plánu konfigurace Ručně, zakázáno 1.1.0
Vývoj a údržba standardních konfigurací CMA_0153 – Vývoj a údržba standardních konfigurací Ručně, zakázáno 1.1.0
Vývoj plánu identifikace položek konfigurace CMA_C1231 – Vývoj identifikačního plánu položky konfigurace Ručně, zakázáno 1.1.0
Vývoj plánu správy konfigurace CMA_C1232 – Vývoj plánu správy konfigurace Ručně, zakázáno 1.1.0
Vytvoření a zdokumentování plánu správy konfigurace CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace Ručně, zakázáno 1.1.0
Implementace automatizovaného nástroje pro správu konfigurace CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace Ručně, zakázáno 1.1.0

Omezení využití softwaru

ID: FedRAMP High CM-10 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vyžadovat dodržování práv duševního vlastnictví CMA_0432 – Vyžadování dodržování práv duševního vlastnictví Ručně, zakázáno 1.1.0
Sledování využití softwarových licencí CMA_C1235 – Sledování využití softwarových licencí Ručně, zakázáno 1.1.0

Open Source Software

ID: FedRAMP High CM-10 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Omezení používání opensourcového softwaru CMA_C1237 – Omezení používání opensourcového softwaru Ručně, zakázáno 1.1.0

Plánování nepředvídaných událostí

Zásady a postupy plánování nepředvídaných událostí

ID: FedRAMP High CP-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace zásad a postupů plánování nepředvídaných událostí CMA_C1243 – kontrola a aktualizace zásad a postupů plánování nepředvídaných událostí Ručně, zakázáno 1.1.0

Plán nepředvídaných událostí

ID: FedRAMP High CP-2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Komunikujte o změnách plánu nepředvídaných událostí CMA_C1249 – komunikujte o změnách plánu nepředvídaných událostí Ručně, zakázáno 1.1.0
Koordinace plánů nepředvídaných událostí se souvisejícími plány CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány Ručně, zakázáno 1.1.0
Vývoj a zdokumentování plánu provozní kontinuity a zotavení po havárii CMA_0146 – Vývoj a zdokumentování plánu provozní kontinuity a zotavení po havárii Ručně, zakázáno 1.1.0
Vývoj plánu nepředvídaných událostí CMA_C1244 – vývoj plánu nepředvídaných událostí Ručně, zakázáno 1.1.0
Vývoj zásad a postupů plánování nepředvídaných událostí CMA_0156 – vývoj zásad a postupů plánování nepředvídaných událostí Ručně, zakázáno 1.1.0
Distribuce zásad a postupů CMA_0185 – Distribuce zásad a postupů Ručně, zakázáno 1.1.0
Kontrola plánu nepředvídaných událostí CMA_C1247 – kontrola plánu nepředvídaných událostí Ručně, zakázáno 1.1.0
Aktualizace plánu nepředvídaných událostí CMA_C1248 – aktualizace plánu nepředvídaných událostí Ručně, zakázáno 1.1.0

ID: FedRAMP High CP-2 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Koordinace plánů nepředvídaných událostí se souvisejícími plány CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány Ručně, zakázáno 1.1.0

Plánování kapacit

ID: FedRAMP High CP-2 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Plánování kapacity CMA_C1252 – Plánování kapacity Ručně, zakázáno 1.1.0

Obnovení základních misí / obchodních funkcí

ID: FedRAMP High CP-2 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Plánování obnovení základních obchodních funkcí CMA_C1253 – plán obnovení základních obchodních funkcí Ručně, zakázáno 1.1.0

Obnovení všech misí / obchodních funkcí

ID: FedRAMP High CP-2 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Obnovení všech funkcí poslání a obchodních funkcí CMA_C1254 – obnovení všech funkcí poslání a obchodních funkcí Ručně, zakázáno 1.1.0

Pokračovat v základních misích / obchodních funkcích

ID: FedRAMP High CP-2 (5) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Plánování kontinuance základních obchodních funkcí CMA_C1255 – plánování kontinuance základních obchodních funkcí Ručně, zakázáno 1.1.0

Identifikace kritických prostředků

ID: FedRAMP High CP-2 (8) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Posouzení obchodních dopadů a posouzení závažnosti aplikací CMA_0386 – Provedení posouzení obchodních dopadů a posouzení závažnosti aplikací Ručně, zakázáno 1.1.0

Nepředvídané školení

ID: FedRAMP High CP-3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zajištění nepředvídaného školení CMA_0412 – poskytování nepředvídaných školení Ručně, zakázáno 1.1.0

Simulované události

ID: FedRAMP High CP-3 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Začlenění simulovaného nepředvídaného trénování CMA_C1260 – začlenění simulovaného nepředvídaného trénování Ručně, zakázáno 1.1.0

Testování plánu nepředvídaných událostí

ID: FedRAMP High CP-4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zahájení nápravných akcí pro testování plánu nepředvídaných událostí CMA_C1263 – Zahájení nápravných akcí pro testování nepředvídaných plánů Ručně, zakázáno 1.1.0
Kontrola výsledků testování plánu nepředvídaných událostí CMA_C1262 – kontrola výsledků testování nepředvídaných plánů Ručně, zakázáno 1.1.0
Testování plánu provozní kontinuity a zotavení po havárii CMA_0509 – Testování plánu provozní kontinuity a zotavení po havárii Ručně, zakázáno 1.1.0

ID: FedRAMP High CP-4 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Koordinace plánů nepředvídaných událostí se souvisejícími plány CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány Ručně, zakázáno 1.1.0

Web pro alternativní zpracování

ID: FedRAMP High CP-4 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vyhodnocení možností webu pro alternativní zpracování CMA_C1266 – Vyhodnocení možností webu alternativního zpracování Ručně, zakázáno 1.1.0
Testování plánu nepředvídaných událostí v alternativním umístění zpracování CMA_C1265 – Testovací plán nepředvídaných událostí v alternativním umístění zpracování Ručně, zakázáno 1.1.0

Alternativní web úložiště

ID: FedRAMP High CP-6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ujistěte se, že ochrana lokality alternativního úložiště odpovídá primární lokalitě. CMA_C1268 – Zajištění ochrany lokality alternativního úložiště odpovídá primární lokalitě Ručně, zakázáno 1.1.0
Vytvoření alternativní lokality úložiště pro ukládání a načítání informací o zálohování CMA_C1267 – Vytvoření alternativní lokality úložiště pro ukládání a načítání informací o zálohování Ručně, zakázáno 1.1.0
Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro účty úložiště by mělo být povolené geograficky redundantní úložiště. Použití geografické redundance k vytváření vysoce dostupných aplikací Audit, zakázáno 1.0.0
Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. Tato zásada audituje jakoukoli službu Azure SQL Database s dlouhodobým geograficky redundantním zálohováním, které není povolené. AuditIfNotExists, zakázáno 2.0.0

Oddělení od primární lokality

ID: FedRAMP High CP-6 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření samostatných alternativních a primárních lokalit úložiště CMA_C1269 – Vytvoření samostatných alternativních a primárních lokalit úložiště Ručně, zakázáno 1.1.0
Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro účty úložiště by mělo být povolené geograficky redundantní úložiště. Použití geografické redundance k vytváření vysoce dostupných aplikací Audit, zakázáno 1.0.0
Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. Tato zásada audituje jakoukoli službu Azure SQL Database s dlouhodobým geograficky redundantním zálohováním, které není povolené. AuditIfNotExists, zakázáno 2.0.0

Doba obnovení / cíle bodu

ID: FedRAMP High CP-6 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření alternativní lokality úložiště, která usnadňuje operace obnovení CMA_C1270 – Vytvoření alternativní lokality úložiště, která usnadňuje operace obnovení Ručně, zakázáno 1.1.0

Usnadnění

ID: FedRAMP High CP-6 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Identifikace a zmírnění potenciálních problémů v alternativní lokalitě úložiště CMA_C1271 – Identifikace a zmírnění potenciálních problémů v alternativní lokalitě úložiště Ručně, zakázáno 1.1.0

Web pro alternativní zpracování

ID: FedRAMP High CP-7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Vytvoření lokality pro alternativní zpracování CMA_0262 – Vytvoření lokality pro alternativní zpracování Ručně, zakázáno 1.1.0

Oddělení od primární lokality

ID: FedRAMP High CP-7 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření lokality pro alternativní zpracování CMA_0262 – Vytvoření lokality pro alternativní zpracování Ručně, zakázáno 1.1.0

Usnadnění

ID: FedRAMP High CP-7 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření lokality pro alternativní zpracování CMA_0262 – Vytvoření lokality pro alternativní zpracování Ručně, zakázáno 1.1.0

Priorita služby

ID: FedRAMP High CP-7 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření lokality pro alternativní zpracování CMA_0262 – Vytvoření lokality pro alternativní zpracování Ručně, zakázáno 1.1.0
Stanovení požadavků pro poskytovatele internetových služeb CMA_0278 – Stanovení požadavků pro poskytovatele internetových služeb Ručně, zakázáno 1.1.0

Příprava na použití

ID: FedRAMP High CP-7 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Příprava lokality pro alternativní zpracování pro použití jako provozní lokality CMA_C1278 – Příprava lokality pro alternativní zpracování pro použití jako provozní lokalita Ručně, zakázáno 1.1.0

Priorita ustanovení služeb

ID: FedRAMP High CP-8 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Stanovení požadavků pro poskytovatele internetových služeb CMA_0278 – Stanovení požadavků pro poskytovatele internetových služeb Ručně, zakázáno 1.1.0

Zálohování informačního systému

ID: FedRAMP High CP-9 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pro virtuální počítače by měla být povolená služba Azure Backup. Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. AuditIfNotExists, zakázáno 3.0.0
Zálohování dokumentace k informačnímu systému CMA_C1289 – Zálohování dokumentace k informačnímu systému Ručně, zakázáno 1.1.0
Vytvoření zásad a postupů zálohování CMA_0268 – Vytvoření zásad a postupů zálohování Ručně, zakázáno 1.1.0
Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. Audit, zakázáno 1.0.1
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Trezory klíčů by měly mít povolenou ochranu před odstraněním. Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. Audit, Odepřít, Zakázáno 2.1.0
Trezory klíčů by měly mít povolené obnovitelné odstranění. Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. Audit, Odepřít, Zakázáno 3.0.0

Samostatné úložiště pro důležité informace

ID: FedRAMP High CP-9 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Samostatně ukládat informace o zálohování CMA_C1293 – Samostatně ukládat informace o zálohování Ručně, zakázáno 1.1.0

Přenos na alternativní lokalitu úložiště

ID: FedRAMP High CP-9 (5) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přenos informací o zálohování do alternativní lokality úložiště CMA_C1294 – Přenos informací o zálohování do alternativní lokality úložiště Ručně, zakázáno 1.1.0

Obnovení a rekonstituce informačního systému

ID: FedRAMP High CP-10 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Obnovení a rekonstituce prostředků po přerušení CMA_C1295 – obnovení a rekonstituce prostředků po přerušení Ručně, zakázáno 1.1.1

Obnovení transakcí

ID: FedRAMP High CP-10 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace obnovení založeného na transakcích CMA_C1296 – Implementace obnovení založeného na transakcích Ručně, zakázáno 1.1.0

Obnovení během časového období

ID: FedRAMP High CP-10 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Obnovení prostředků do provozního stavu CMA_C1297 – Obnovení prostředků do provozního stavu Ručně, zakázáno 1.1.1

Identifikace a ověřování

Zásady a postupy identifikace a ověřování

ID: FedRAMP High IA-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace zásad a postupů identifikace a ověřování CMA_C1299 – Kontrola a aktualizace zásad a postupů identifikace a ověřování Ručně, zakázáno 1.1.0

Identifikace a ověřování (uživatelé organizace)

ID: FedRAMP High IA-2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Správce Azure Active Directory by měl být zřízený pro sql servery. Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft AuditIfNotExists, zakázáno 1.0.0
Aplikace App Service by měly používat spravovanou identitu. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 3.0.0
Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth Audit, Odepřít, Zakázáno 1.1.0
Vynucení jedinečnosti uživatele CMA_0250 – vynucování jedinečnosti uživatele Ručně, zakázáno 1.1.0
Aplikace funkcí by měly používat spravovanou identitu Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 3.0.0
Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric Audit, Odepřít, Zakázáno 1.1.0
Podpora přihlašovacích údajů pro osobní ověření vydaných právními orgány CMA_0507 – Podpora osobních ověřovacích přihlašovacích údajů vydaných právními orgány Ručně, zakázáno 1.1.0

Síťový přístup k privilegovaným účtům

ID: FedRAMP High IA-2 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Přijetí biometrických mechanismů ověřování CMA_0005 – přijetí biometrických mechanismů ověřování Ručně, zakázáno 1.1.0

Síťový přístup k neprivilegovaným účtům

ID: FedRAMP High IA-2 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. AuditIfNotExists, zakázáno 1.0.0
Přijetí biometrických mechanismů ověřování CMA_0005 – přijetí biometrických mechanismů ověřování Ručně, zakázáno 1.1.0

Místní přístup k privilegovaným účtům

ID: FedRAMP High IA-2 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přijetí biometrických mechanismů ověřování CMA_0005 – přijetí biometrických mechanismů ověřování Ručně, zakázáno 1.1.0

Ověřování skupin

ID: FedRAMP High IA-2 (5) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vyžadování použití jednotlivých ověřovacích prostředků CMA_C1305 – Vyžadování použití jednotlivých ověřovacích prostředků Ručně, zakázáno 1.1.0

Vzdálený přístup – samostatné zařízení

ID: FedRAMP High IA-2 (11) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přijetí biometrických mechanismů ověřování CMA_0005 – přijetí biometrických mechanismů ověřování Ručně, zakázáno 1.1.0
Identifikace a ověřování síťových zařízení CMA_0296 – Identifikace a ověřování síťových zařízení Ručně, zakázáno 1.1.0

Přijetí přihlašovacích údajů piv

ID: FedRAMP High IA-2 (12) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Podpora přihlašovacích údajů pro osobní ověření vydaných právními orgány CMA_0507 – Podpora osobních ověřovacích přihlašovacích údajů vydaných právními orgány Ručně, zakázáno 1.1.0

Správa identifikátorů

ID: FedRAMP High IA-4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Správce Azure Active Directory by měl být zřízený pro sql servery. Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft AuditIfNotExists, zakázáno 1.0.0
Aplikace App Service by měly používat spravovanou identitu. Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 3.0.0
Přiřazení systémových identifikátorů CMA_0018 – Přiřazení systémových identifikátorů Ručně, zakázáno 1.1.0
Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth Audit, Odepřít, Zakázáno 1.1.0
Aplikace funkcí by měly používat spravovanou identitu Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, zakázáno 3.0.0
Zabránění opakovanému použití identifikátoru pro definované časové období CMA_C1314 – Zabránění opakovanému použití identifikátoru pro definované časové období Ručně, zakázáno 1.1.0
Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric Audit, Odepřít, Zakázáno 1.1.0

Identifikace stavu uživatele

ID: FedRAMP High IA-4 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Identifikace stavu jednotlivých uživatelů CMA_C1316 – identifikace stavu jednotlivých uživatelů Ručně, zakázáno 1.1.0

Správa authenticatoru

ID: FedRAMP High IA-5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. modify (úprava) 4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. modify (úprava) 4.1.0
Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644 AuditIfNotExists, zakázáno 3.1.0
Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování AuditIfNotExists, zakázáno 2.0.0
Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, zakázáno 3.2.0
Certifikáty by měly mít zadanou maximální dobu platnosti. Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby, po kterou může být certifikát platný v rámci trezoru klíčů. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 2.2.1
Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. deployIfNotExists 3.1.0
Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. deployIfNotExists 1.2.0
Vytvoření typů a procesů authenticatoru CMA_0267 – Vytvoření typů a procesů ověřování Ručně, zakázáno 1.1.0
Vytvoření postupů pro počáteční distribuci ověřovacího objektu CMA_0276 – Vytvoření postupů pro počáteční distribuci ověřovacího objektu Ručně, zakázáno 1.1.0
Implementace trénování pro ochranu ověřovacích modulů CMA_0329 – Implementace trénování pro ochranu ověřovacích metod Ručně, zakázáno 1.1.0
Klíče služby Key Vault by měly mít datum vypršení platnosti. Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení. Audit, Odepřít, Zakázáno 1.0.2
Tajné kódy služby Key Vault by měly mít datum vypršení platnosti. Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů. Audit, Odepřít, Zakázáno 1.0.2
Správa doby života a opakovaného použití authenticatoru CMA_0355 – Správa doby života a opakovaného použití ověřovacího programu Ručně, zakázáno 1.1.0
Správa authenticátorů CMA_C1321 – Správa ověřovacích modulů Ručně, zakázáno 1.1.0
Aktualizace ověřovacích modulů CMA_0425 – aktualizace ověřovacích modulů Ručně, zakázáno 1.1.0
Reissue authenticators for changed groups and accounts CMA_0426 – reissue authenticátory pro změněné skupiny a účty Ručně, zakázáno 1.1.0
Ověření identity před distribucí ověřovacích modulů CMA_0538 – Ověření identity před distribucí ověřovacích modulů Ručně, zakázáno 1.1.0

Ověřování založené na heslech

ID: FedRAMP High IA-5 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. modify (úprava) 4.1.0
Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. modify (úprava) 4.1.0
Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644 AuditIfNotExists, zakázáno 3.1.0
Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. Výchozí hodnota pro jedinečná hesla je 24 AuditIfNotExists, zakázáno 2.1.0
Auditování počítačů s Windows, které nemají maximální stáří hesla nastavené na zadaný počet dnů Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají nastavený maximální věk hesla na zadaný počet dní. Výchozí hodnota maximálního stáří hesla je 70 dnů. AuditIfNotExists, zakázáno 2.1.0
Auditovat počítače s Windows, které nemají nastavený minimální věk hesla na zadaný počet dnů Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, u kterých není nastavený minimální věk hesla nastavený na zadaný počet dní. Výchozí hodnota pro minimální stáří hesla je 1 den. AuditIfNotExists, zakázáno 2.1.0
Auditovat počítače s Windows, které nemají povolené nastavení složitosti hesla Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají povolené nastavení složitosti hesla AuditIfNotExists, zakázáno 2.0.0
Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows neomezují minimální délku hesla na zadaný počet znaků. Výchozí hodnota minimální délky hesla je 14 znaků. AuditIfNotExists, zakázáno 2.1.0
Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování AuditIfNotExists, zakázáno 2.0.0
Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. deployIfNotExists 3.1.0
Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. deployIfNotExists 1.2.0
Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv Ručně, zakázáno 1.1.0
Vytvoření zásady hesel CMA_0256 – Vytvoření zásad hesel Ručně, zakázáno 1.1.0
Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami CMA_0321 – Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami Ručně, zakázáno 1.1.0
Ochrana hesel pomocí šifrování CMA_0408 – Ochrana hesel pomocí šifrování Ručně, zakázáno 1.1.0

Ověřování na základě infrastruktury veřejných klíčů

ID: FedRAMP High IA-5 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Dynamické vazby ověřovacích a identit CMA_0035 – dynamické vazby ověřovacích a identit Ručně, zakázáno 1.1.0
Vytvoření typů a procesů authenticatoru CMA_0267 – Vytvoření typů a procesů ověřování Ručně, zakázáno 1.1.0
Vytvoření parametrů pro vyhledávání ověřovacích a ověřovatelů tajných kódů CMA_0274 – Vytvoření parametrů pro vyhledávání ověřovacích a ověřovatelů tajných kódů Ručně, zakázáno 1.1.0
Vytvoření postupů pro počáteční distribuci ověřovacího objektu CMA_0276 – Vytvoření postupů pro počáteční distribuci ověřovacího objektu Ručně, zakázáno 1.1.0
Mapování ověřených identit na jednotlivce CMA_0372 – mapování ověřených identit na jednotlivce Ručně, zakázáno 1.1.0
Omezení přístupu k privátním klíčům CMA_0445 – Omezení přístupu k privátním klíčům Ručně, zakázáno 1.1.0
Ověření identity před distribucí ověřovacích modulů CMA_0538 – Ověření identity před distribucí ověřovacích modulů Ručně, zakázáno 1.1.0

Osobně nebo důvěryhodná registrace třetích stran

ID: FedRAMP High IA-5 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Distribuce ověřovacích modulů CMA_0184 – Distribuce ověřovacích modulů Ručně, zakázáno 1.1.0

Automatizovaná podpora pro stanovení síly hesla

ID: FedRAMP High IA-5 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv Ručně, zakázáno 1.1.0
Vytvoření zásady hesel CMA_0256 – Vytvoření zásad hesel Ručně, zakázáno 1.1.0
Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami CMA_0321 – Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami Ručně, zakázáno 1.1.0

Ochrana ověřovacích prostředků

ID: FedRAMP High IA-5 (6) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ujistěte se, že autorizovaní uživatelé chrání poskytnuté ověřovací objekty. CMA_C1339 – zajistěte, aby autorizovaní uživatelé chránili poskytnuté ověřovací objekty. Ručně, zakázáno 1.1.0

Žádné vložené nešifrované statické ověřovací objekty

ID: FedRAMP High IA-5 (7) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ujistěte se, že neexistují žádné nešifrované statické ověřovací objekty. CMA_C1340 – Ujistěte se, že neexistují žádné nešifrované statické ověřovací objekty. Ručně, zakázáno 1.1.0

Ověřování založené na hardwarových tokenech

ID: FedRAMP High IA-5 (11) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Splnění požadavků na kvalitu tokenu CMA_0487 – Splnění požadavků na kvalitu tokenu Ručně, zakázáno 1.1.0

Vypršení platnosti ověřovacích modulů uložených v mezipaměti

ID: FedRAMP High IA-5 (13) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vynucení vypršení platnosti ověřovacích rutin uložených v mezipaměti CMA_C1343 – Vynucení vypršení platnosti ověřovacích rutin uložených v mezipaměti Ručně, zakázáno 1.1.0

Zpětná vazba k ověřovacímu programu

ID: FedRAMP High IA-6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Skrytí informací o zpětné vazbě během procesu ověřování CMA_C1344 – Skrytí informací o zpětné vazbě během procesu ověřování Ručně, zakázáno 1.1.0

Ověřování kryptografických modulů

ID: FedRAMP High IA-7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ověřování v kryptografickém modulu CMA_0021 – Ověřování v kryptografickém modulu Ručně, zakázáno 1.1.0

Identifikace a ověřování (uživatelé mimo organizaci)

ID: FedRAMP High IA-8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Identifikace a ověřování uživatelů mimo organizaci CMA_C1346 – Identifikace a ověřování uživatelů mimo organizaci Ručně, zakázáno 1.1.0

Přijetí přihlašovacích údajů piv od jiných agentur

ID: FedRAMP High IA-8 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přijetí přihlašovacích údajů PIV CMA_C1347 – Přijetí přihlašovacích údajů PIV Ručně, zakázáno 1.1.0

Přijetí přihlašovacích údajů třetích stran

ID: FedRAMP High IA-8 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přijmout pouze přihlašovací údaje schválené pro FICAM třetí strany CMA_C1348 – Přijmout pouze přihlašovací údaje schválené třetí stranou FICAM Ručně, zakázáno 1.1.0

Použití produktů schválených ficamem

ID: FedRAMP High IA-8 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Využívání prostředků schválených ficam k přijetí přihlašovacích údajů třetích stran CMA_C1349 – Využívání prostředků schválených ficam k přijetí přihlašovacích údajů třetích stran Ručně, zakázáno 1.1.0

Použití profilů vystavených ficamem

ID: FedRAMP High IA-8 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vyhovuje profilům vystaveným ficam CMA_C1350 – Odpovídá profilům vystaveným ficam Ručně, zakázáno 1.1.0

Reakce na incident

Zásady a postupy reakce na incidenty

ID: Vlastnictví FedRAMP High IR-1: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace zásad a postupů reakce na incidenty CMA_C1352 – Kontrola a aktualizace zásad a postupů reakce na incidenty Ručně, zakázáno 1.1.0

Školení k reakcím na incidenty

ID: Vlastnictví FedRAMP High IR-2: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Poskytnutí školení k přelití informací CMA_0413 – poskytnutí školení k přelití informací Ručně, zakázáno 1.1.0

Simulované události

ID: Vlastnictví FedRAMP High IR-2 (1) : Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Začlenění simulovaných událostí do trénování reakce na incidenty CMA_C1356 – Začlenění simulovaných událostí do trénování reakce na incidenty Ručně, zakázáno 1.1.0

Automatizovaná trénovací prostředí

ID: Vlastnictví FedRAMP High IR-2 (2): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Využití automatizovaného trénovacího prostředí CMA_C1357 – Využití automatizovaného trénovacího prostředí Ručně, zakázáno 1.1.0

Testování reakcí na incidenty

ID: Vlastnictví FedRAMP High IR-3: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Testování reakce na incidenty CMA_0060 – Provedení testování reakcí na incidenty Ručně, zakázáno 1.1.0
Vytvoření programu zabezpečení informací CMA_0263 – Vytvoření programu zabezpečení informací Ručně, zakázáno 1.1.0
Spuštění útoků simulace CMA_0486 – Spuštění útoků simulace Ručně, zakázáno 1.1.0

ID: Vlastnictví FedRAMP High IR-3 (2): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Testování reakce na incidenty CMA_0060 – Provedení testování reakcí na incidenty Ručně, zakázáno 1.1.0
Vytvoření programu zabezpečení informací CMA_0263 – Vytvoření programu zabezpečení informací Ručně, zakázáno 1.1.0
Spuštění útoků simulace CMA_0486 – Spuštění útoků simulace Ručně, zakázáno 1.1.0

Zpracování incidentů

ID: FedRAMP High IR-4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Posouzení událostí zabezpečení informací CMA_0013 – Posouzení událostí zabezpečení informací Ručně, zakázáno 1.1.0
Služba Azure Defender for App Service by měla být povolená. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, zakázáno 1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Služba Azure Defender for Key Vault by měla být povolená. Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender for Resource Manager by měl být povolený. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Koordinace plánů nepředvídaných událostí se souvisejícími plány CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány Ručně, zakázáno 1.1.0
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Vývoj bezpečnostních opatření CMA_0161 – Vývoj bezpečnostních opatření Ručně, zakázáno 1.1.0
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 1.2.0
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 2.1.0
Povolení ochrany sítě CMA_0238 – Povolení ochrany sítě Ručně, zakázáno 1.1.0
Vymýcení kontaminovaných informací CMA_0253 - Eradikát kontaminovaných informací Ručně, zakázáno 1.1.0
Provádění akcí v reakci na přelití informací CMA_0281 – Provádění akcí v reakci na přelití informací Ručně, zakázáno 1.1.0
Implementace zpracování incidentů CMA_0318 – Implementace zpracování incidentů Ručně, zakázáno 1.1.0
Údržba plánu reakce na incidenty CMA_0352 – Údržba plánu reakce na incidenty Ručně, zakázáno 1.1.0
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Měl by být povolený Microsoft Defender pro úložiště. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, zakázáno 1.0.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. AuditIfNotExists, zakázáno 1.0.1
Zobrazení a prošetření omezených uživatelů CMA_0545 – Zobrazení a prošetření omezených uživatelů Ručně, zakázáno 1.1.0

Automatizované procesy zpracování incidentů

ID: Vlastnictví FedRAMP High IR-4 (1): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Povolení ochrany sítě CMA_0238 – Povolení ochrany sítě Ručně, zakázáno 1.1.0
Implementace zpracování incidentů CMA_0318 – Implementace zpracování incidentů Ručně, zakázáno 1.1.0

Dynamická rekonfigurace

ID: Vlastnictví FedRAMP High IR-4 (2): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zahrnutí dynamické změny konfigurace prostředků nasazených zákazníkem CMA_C1364 – Zahrnutí dynamické změny konfigurace prostředků nasazených zákazníkem Ručně, zakázáno 1.1.0

Kontinuita provozu

ID: Vlastnictví FedRAMP High IR-4 (3): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Identifikace tříd incidentů a provedených akcí CMA_C1365 – identifikace tříd incidentů a provedených akcí Ručně, zakázáno 1.1.0

Korelace informací

ID: Vlastnictví FedRAMP High IR-4 (4): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace zpracování incidentů CMA_0318 – Implementace zpracování incidentů Ručně, zakázáno 1.1.0

Insider Threats – specifické možnosti

ID: Vlastnictví FedRAMP High IR-4 (6): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace funkce zpracování incidentů CMA_C1367 – Implementace funkce zpracování incidentů Ručně, zakázáno 1.1.0

Korelace s externími organizacemi

ID: Vlastnictví FedRAMP High IR-4 (8) : Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Koordinace s externími organizacemi za účelem dosažení perspektivy mezi organizacemi CMA_C1368 – koordinace s externími organizacemi za účelem dosažení perspektivy mezi organizacemi Ručně, zakázáno 1.1.0

Monitorování incidentů

ID: FedRAMP High IR-5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Služba Azure Defender for App Service by měla být povolená. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, zakázáno 1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Služba Azure Defender for Key Vault by měla být povolená. Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender for Resource Manager by měl být povolený. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 1.2.0
E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. AuditIfNotExists, zakázáno 2.1.0
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Měl by být povolený Microsoft Defender pro úložiště. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, zakázáno 1.0.0
Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. AuditIfNotExists, zakázáno 1.0.1

Automatizované generování sestav

ID: Vlastnictví FedRAMP High IR-6 (1) : Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentovat operace zabezpečení CMA_0202 – Zdokumentovat operace zabezpečení Ručně, zakázáno 1.1.0

Pomoc s reakcí na incidenty

ID: FedRAMP High IR-7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentovat operace zabezpečení CMA_0202 – Zdokumentovat operace zabezpečení Ručně, zakázáno 1.1.0

Podpora automatizace pro dostupnost informací / podpora

ID: Vlastnictví FedRAMP High IR-7 (1): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Povolení ochrany sítě CMA_0238 – Povolení ochrany sítě Ručně, zakázáno 1.1.0
Vymýcení kontaminovaných informací CMA_0253 - Eradikát kontaminovaných informací Ručně, zakázáno 1.1.0
Provádění akcí v reakci na přelití informací CMA_0281 – Provádění akcí v reakci na přelití informací Ručně, zakázáno 1.1.0
Implementace zpracování incidentů CMA_0318 – Implementace zpracování incidentů Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Zobrazení a prošetření omezených uživatelů CMA_0545 – Zobrazení a prošetření omezených uživatelů Ručně, zakázáno 1.1.0

Koordinace s externími poskytovateli

ID: Vlastnictví FedRAMP High IR-7 (2): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Navázání vztahu mezi schopnostmi reakce na incidenty a externími poskytovateli CMA_C1376 – Navázání vztahu mezi schopnostmi reakce na incidenty a externími poskytovateli Ručně, zakázáno 1.1.0
Identifikace pracovníků reakce na incidenty CMA_0301 – Identifikace pracovníků reakce na incidenty Ručně, zakázáno 1.1.0

Plán reakcí na incidenty

ID: FedRAMP High IR-8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Posouzení událostí zabezpečení informací CMA_0013 – Posouzení událostí zabezpečení informací Ručně, zakázáno 1.1.0
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Implementace zpracování incidentů CMA_0318 – Implementace zpracování incidentů Ručně, zakázáno 1.1.0
Udržování záznamů o porušení zabezpečení dat CMA_0351 – Udržování záznamů o porušení zabezpečení dat Ručně, zakázáno 1.1.0
Údržba plánu reakce na incidenty CMA_0352 – Údržba plánu reakce na incidenty Ručně, zakázáno 1.1.0
Ochrana plánu reakce na incidenty CMA_0405 – Ochrana plánu reakce na incidenty Ručně, zakázáno 1.1.0

Odpověď na přelití informací

ID: FedRAMP High IR-9 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pracovníci upozornění na přelití informací CMA_0007 – pracovníci upozornění na únik informací Ručně, zakázáno 1.1.0
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Vymýcení kontaminovaných informací CMA_0253 - Eradikát kontaminovaných informací Ručně, zakázáno 1.1.0
Provádění akcí v reakci na přelití informací CMA_0281 – Provádění akcí v reakci na přelití informací Ručně, zakázáno 1.1.0
Identifikace kontaminovaných systémů a součástí CMA_0300 – identifikace kontaminovaných systémů a součástí Ručně, zakázáno 1.1.0
Identifikace přelitých informací CMA_0303 – Identifikace přelitých informací Ručně, zakázáno 1.1.0
Izolace přelití informací CMA_0346 – izolace přelití informací Ručně, zakázáno 1.1.0

Zodpovědní pracovníci

ID: Vlastnictví FedRAMP High IR-9 (1): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Identifikace pracovníků reakce na incidenty CMA_0301 – Identifikace pracovníků reakce na incidenty Ručně, zakázáno 1.1.0

Školení

ID: Vlastnictví FedRAMP High IR-9 (2): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Poskytnutí školení k přelití informací CMA_0413 – poskytnutí školení k přelití informací Ručně, zakázáno 1.1.0

Operace po rozlití

ID: Vlastnictví FedRAMP High IR-9 (3): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj postupů reakce na přelití CMA_0162 – Vývoj postupů reakce na přelití Ručně, zakázáno 1.1.0

Vystavení neoprávněným pracovníkům

ID: Vlastnictví FedRAMP High IR-9 (4): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj bezpečnostních opatření CMA_0161 – Vývoj bezpečnostních opatření Ručně, zakázáno 1.1.0

Údržba

Zásady a postupy údržby systému

ID: FedRAMP High MA-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace zásad a postupů údržby systému CMA_C1395 – Kontrola a aktualizace zásad a postupů údržby systému Ručně, zakázáno 1.1.0

Řízená údržba

ID: FedRAMP High MA-2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení aktivit údržby a oprav CMA_0080 - Řízení činností údržby a oprav Ručně, zakázáno 1.1.0
Použití mechanismu sanitizace médií CMA_0208 – použití mechanismu sanitizace médií Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Správa nelokálních aktivit údržby a diagnostiky CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky Ručně, zakázáno 1.1.0

Automatizované aktivity údržby

ID: Vlastnictví FedRAMP High MA-2 (2): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Automatizace aktivit vzdálené údržby CMA_C1402 – Automatizace aktivit vzdálené údržby Ručně, zakázáno 1.1.0
Vytváření kompletních záznamů aktivit vzdálené údržby CMA_C1403 – Vytváření kompletních záznamů o aktivitách vzdálené údržby Ručně, zakázáno 1.1.0

Nástroje údržby

ID: FedRAMP High MA-3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení aktivit údržby a oprav CMA_0080 - Řízení činností údržby a oprav Ručně, zakázáno 1.1.0
Správa nelokálních aktivit údržby a diagnostiky CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky Ručně, zakázáno 1.1.0

Kontrola nástrojů

ID: FedRAMP High MA-3 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení aktivit údržby a oprav CMA_0080 - Řízení činností údržby a oprav Ručně, zakázáno 1.1.0
Správa nelokálních aktivit údržby a diagnostiky CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky Ručně, zakázáno 1.1.0

Kontrola média

ID: Vlastnictví FedRAMP High MA-3 (2): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení aktivit údržby a oprav CMA_0080 - Řízení činností údržby a oprav Ručně, zakázáno 1.1.0
Správa nelokálních aktivit údržby a diagnostiky CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky Ručně, zakázáno 1.1.0

Zabránit neoprávněnému odebrání

ID: FedRAMP High MA-3 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení aktivit údržby a oprav CMA_0080 - Řízení činností údržby a oprav Ručně, zakázáno 1.1.0
Použití mechanismu sanitizace médií CMA_0208 – použití mechanismu sanitizace médií Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Správa nelokálních aktivit údržby a diagnostiky CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky Ručně, zakázáno 1.1.0

Nelokální údržba

ID: FedRAMP High MA-4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Správa nelokálních aktivit údržby a diagnostiky CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky Ručně, zakázáno 1.1.0

Document Nonlocal Maintenance

ID: Vlastnictví FedRAMP High MA-4 (2): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Správa nelokálních aktivit údržby a diagnostiky CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky Ručně, zakázáno 1.1.0

Srovnatelné zabezpečení / sanitizace

ID: FedRAMP High MA-4 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Provést veškerou nelokanou údržbu CMA_C1417 – proveďte veškerou údržbu mimo místní Ručně, zakázáno 1.1.0

Kryptografická ochrana

ID: FedRAMP High MA-4 (6) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace kryptografických mechanismů CMA_C1419 – Implementace kryptografických mechanismů Ručně, zakázáno 1.1.0

Pracovníci údržby

ID: FedRAMP High MA-5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Určení pracovníků pro dohled nad neautorizovanými aktivitami údržby CMA_C1422 – Určete pracovníky, kteří budou dohlížet na neautorizované činnosti údržby. Ručně, zakázáno 1.1.0
Údržba seznamu autorizovaných pracovníků vzdálené údržby CMA_C1420 – Údržba seznamu autorizovaných pracovníků vzdálené údržby Ručně, zakázáno 1.1.0
Správa pracovníků údržby CMA_C1421 – Správa pracovníků údržby Ručně, zakázáno 1.1.0

Jednotlivci bez odpovídajícího přístupu

ID: FedRAMP High MA-5 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Použití mechanismu sanitizace médií CMA_0208 – použití mechanismu sanitizace médií Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0

Včasná údržba

ID: FedRAMP High MA-6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zajištění včasné podpory údržby CMA_C1425 – poskytování včasné podpory údržby Ručně, zakázáno 1.1.0

Ochrana médií

Zásady a postupy ochrany médií

ID: FedRAMP High MP-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace zásad a postupů ochrany médií CMA_C1427 – Kontrola a aktualizace zásad a postupů ochrany médií Ručně, zakázáno 1.1.0

Přístup k médiím

ID: FedRAMP High MP-2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0

Označení médií

ID: FedRAMP High MP-3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0

Media Storage

ID: FedRAMP High MP-4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Použití mechanismu sanitizace médií CMA_0208 – použití mechanismu sanitizace médií Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0

Přenos médií

ID: FedRAMP High MP-5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Správa přepravy aktiv CMA_0370 – správa přepravy aktiv Ručně, zakázáno 1.1.0

Kryptografická ochrana

ID: FedRAMP High MP-5 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Správa přepravy aktiv CMA_0370 – správa přepravy aktiv Ručně, zakázáno 1.1.0

Sanitizace médií

ID: FedRAMP High MP-6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Použití mechanismu sanitizace médií CMA_0208 – použití mechanismu sanitizace médií Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0

Kontrola, schválení, sledování, dokument / ověření

ID: FedRAMP High MP-6 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Použití mechanismu sanitizace médií CMA_0208 – použití mechanismu sanitizace médií Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0

Testování vybavení

ID: FedRAMP High MP-6 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Použití mechanismu sanitizace médií CMA_0208 – použití mechanismu sanitizace médií Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0

Použití médií

ID: FedRAMP High MP-7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Řízení používání přenosných úložných zařízení CMA_0083 – řízení používání přenosných úložných zařízení Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Omezení používání médií CMA_0450 – Omezení používání médií Ručně, zakázáno 1.1.0

Zakázat použití bez vlastníka

ID: FedRAMP High MP-7 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Řízení používání přenosných úložných zařízení CMA_0083 – řízení používání přenosných úložných zařízení Ručně, zakázáno 1.1.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Omezení používání médií CMA_0450 – Omezení používání médií Ručně, zakázáno 1.1.0

Fyzická ochrana a ochrana životního prostředí

Zásady a postupy ochrany životního prostředí a fyzické ochrany životního prostředí

ID: FedRAMP High PE-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace fyzických a environmentálních politik a postupů CMA_C1446 – kontrola a aktualizace fyzických a environmentálních politik a postupů Ručně, zakázáno 1.1.0

Autorizace fyzického přístupu

ID: FedRAMP High PE-2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0

Fyzické řízení přístupu

ID: FedRAMP High PE-3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0
Definování procesu správy fyzických klíčů CMA_0115 – Definování procesu správy fyzických klíčů Ručně, zakázáno 1.1.0
Vytvoření a údržba inventáře aktiv CMA_0266 – Vytvoření a údržba inventáře prostředků Ručně, zakázáno 1.1.0
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti Ručně, zakázáno 1.1.0

Řízení přístupu pro přenosové médium

ID: FedRAMP High PE-4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti Ručně, zakázáno 1.1.0

Řízení přístupu pro výstupní zařízení

ID: FedRAMP High PE-5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti Ručně, zakázáno 1.1.0
Správa vstupu, výstupu, zpracování a ukládání dat CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat Ručně, zakázáno 1.1.0

Vniknutí alarmů / sledovací zařízení

ID: FedRAMP High PE-6 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Instalace alarmového systému CMA_0338 – Instalace alarmového systému Ručně, zakázáno 1.1.0
Správa zabezpečeného systému kamerového dohledu CMA_0354 – Správa zabezpečeného systému kamer s dohledem Ručně, zakázáno 1.1.0

Záznamy o přístupu návštěvníka

ID: FedRAMP High PE-8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti Ručně, zakázáno 1.1.0

Nouzové osvětlení

ID: FedRAMP High PE-12 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Použití automatického nouzového osvětlení CMA_0209 – použití automatického nouzového osvětlení Ručně, zakázáno 1.1.0

Ochrana proti požáru

ID: FedRAMP High PE-13 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti Ručně, zakázáno 1.1.0

Zařízení detekce / systémy

ID: FedRAMP High PE-13 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace metodologie penetračního testování CMA_0306 – implementace metodologie penetračního testování Ručně, zakázáno 1.1.0
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti Ručně, zakázáno 1.1.0
Spuštění útoků simulace CMA_0486 – Spuštění útoků simulace Ručně, zakázáno 1.1.0

Zařízení potlačení / systémy

ID: FedRAMP High PE-13 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti Ručně, zakázáno 1.1.0

Automatické potlačení požáru

ID: FedRAMP High PE-13 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti Ručně, zakázáno 1.1.0

Ovládací prvky teploty a vlhkosti

ID: FedRAMP High PE-14 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti Ručně, zakázáno 1.1.0

Monitorování pomocí alarmů / oznámení

ID: FedRAMP High PE-14 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti Ručně, zakázáno 1.1.0
Instalace alarmového systému CMA_0338 – Instalace alarmového systému Ručně, zakázáno 1.1.0

Ochrana proti poškození vody

ID: FedRAMP High PE-15 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti Ručně, zakázáno 1.1.0

Doručení a odebrání

ID: FedRAMP High PE-16 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování požadavků pro správu prostředků CMA_0125 – Definování požadavků pro správu prostředků Ručně, zakázáno 1.1.0
Správa přepravy aktiv CMA_0370 – správa přepravy aktiv Ručně, zakázáno 1.1.0

Alternativní pracovní web

ID: FedRAMP High PE-17 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit Ručně, zakázáno 1.1.0

Umístění komponent informačního systému

ID: FedRAMP High PE-18 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti Ručně, zakázáno 1.1.0

Plánování

Zásady a postupy plánování zabezpečení

ID: FedRAMP High PL-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace zásad a postupů plánování CMA_C1491 – Kontrola a aktualizace zásad a postupů plánování Ručně, zakázáno 1.1.0

Plán zabezpečení systému

ID: FedRAMP High PL-2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj a vytvoření plánu zabezpečení systému CMA_0151 – Vývoj a vytvoření plánu zabezpečení systému Ručně, zakázáno 1.1.0
Vývoj zásad a postupů zabezpečení informací CMA_0158 – Vývoj zásad a postupů zabezpečení informací Ručně, zakázáno 1.1.0
Vývoj ZSP, který splňuje kritéria CMA_C1492 – Vývoj ZSP, který splňuje kritéria Ručně, zakázáno 1.1.0
Vytvoření programu ochrany osobních údajů CMA_0257 – Vytvoření programu ochrany osobních údajů Ručně, zakázáno 1.1.0
Stanovení požadavků na zabezpečení pro výrobu připojených zařízení CMA_0279 – Stanovení požadavků na zabezpečení pro výrobu připojených zařízení Ručně, zakázáno 1.1.0
Implementace principů přípravy zabezpečení informačních systémů CMA_0325 – Implementace principů bezpečnostního inženýrství informačních systémů Ručně, zakázáno 1.1.0

Plánování a koordinace s jinými organizačními entitami

ID: FedRAMP High PL-2 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj a vytvoření plánu zabezpečení systému CMA_0151 – Vývoj a vytvoření plánu zabezpečení systému Ručně, zakázáno 1.1.0
Stanovení požadavků na zabezpečení pro výrobu připojených zařízení CMA_0279 – Stanovení požadavků na zabezpečení pro výrobu připojených zařízení Ručně, zakázáno 1.1.0
Implementace principů přípravy zabezpečení informačních systémů CMA_0325 – Implementace principů bezpečnostního inženýrství informačních systémů Ručně, zakázáno 1.1.0

Pravidla chování

ID: FedRAMP High PL-4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj přijatelných zásad a postupů použití CMA_0143 – Vývoj přijatelných zásad a postupů použití Ručně, zakázáno 1.1.0
Vývoj zásad chování organizace CMA_0159 – Vývoj zásad chování organizace Ručně, zakázáno 1.1.0
Zdokumentování přijetí požadavků na ochranu osobních údajů CMA_0193 – zdokumentování přijetí požadavků na ochranu osobních údajů pracovníky Ručně, zakázáno 1.1.0
Vynucení pravidel chování a smluv o přístupu CMA_0248 – vynucování pravidel chování a smluv o přístupu Ručně, zakázáno 1.1.0
Zakázat nespravedlivé praktiky CMA_0396 – Zákaz nespravedlivých praktik Ručně, zakázáno 1.1.0
Kontrola a podepsání revidovaných pravidel chování CMA_0465 – Kontrola a podepsání revidovaných pravidel chování Ručně, zakázáno 1.1.0
Aktualizace zásad zabezpečení informací CMA_0518 – aktualizace zásad zabezpečení informací Ručně, zakázáno 1.1.0
Aktualizace pravidel chování a přístupových smluv CMA_0521 – aktualizace pravidel chování a smluv o přístupu Ručně, zakázáno 1.1.0
Aktualizace pravidel chování a přístupových smluv každých 3 roky CMA_0522 – aktualizace pravidel chování a přístupových smluv každých 3 roky Ručně, zakázáno 1.1.0

Omezení sociálních médií a sítí

ID: FedRAMP High PL-4 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj přijatelných zásad a postupů použití CMA_0143 – Vývoj přijatelných zásad a postupů použití Ručně, zakázáno 1.1.0

Architektura zabezpečení informací

ID: FedRAMP High PL-8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vývoj konceptu operací (CONOPS) CMA_0141 – vývoj konceptu operací (CONOPS) Ručně, zakázáno 1.1.0
Kontrola a aktualizace architektury zabezpečení informací CMA_C1504 – Kontrola a aktualizace architektury zabezpečení informací Ručně, zakázáno 1.1.0

Zabezpečení personálu

Zásady a postupy zabezpečení pracovníků

ID: FedRAMP High PS-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace zásad a postupů zabezpečení pracovníků CMA_C1507 – Kontrola a aktualizace zásad a postupů zabezpečení pracovníků Ručně, zakázáno 1.1.0

Označení rizika pozice

ID: FedRAMP High PS-2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Přiřazení označení rizik CMA_0016 – přiřazení označení rizik Ručně, zakázáno 1.1.0

Screening personálu

ID: FedRAMP High PS-3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vymazat pracovníky s přístupem k klasifikovaným informacím CMA_0054 – Vymazat pracovníky s přístupem k klasifikovaným informacím Ručně, zakázáno 1.1.0
Implementace kontroly pracovníků CMA_0322 – implementace kontroly pracovníků Ručně, zakázáno 1.1.0
Opakované zobrazení jednotlivců s definovanou frekvencí CMA_C1512 – přeobrazovek jednotlivců s definovanou frekvencí Ručně, zakázáno 1.1.0

Informace se zvláštními ochrannými opatřeními

ID: FedRAMP High PS-3 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ochrana speciálních informací CMA_0409 – Ochrana speciálních informací Ručně, zakázáno 1.1.0

Ukončení personálního oddělení

ID: FedRAMP High PS-4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Provedení závěrečného pohovoru po ukončení CMA_0058 - Provedení závěrečného pohovoru po ukončení Ručně, zakázáno 1.1.0
Zakázání ověřovacích modulů po ukončení CMA_0169 – Zakázání ověřovacích modulů po ukončení Ručně, zakázáno 1.1.0
Upozorňovat na ukončení nebo převod CMA_0381 – oznámení při ukončení nebo převodu Ručně, zakázáno 1.1.0
Ochrana před krádeží dat a zabránění úniku dat odcházejícím zaměstnancům CMA_0398 – Ochrana před krádeží dat a zabránění úniku dat odcházejícím zaměstnancům Ručně, zakázáno 1.1.0
Zachování ukončených uživatelských dat CMA_0455 – Zachování ukončených uživatelských dat Ručně, zakázáno 1.1.0

Automatizované oznámení

ID: FedRAMP High PS-4 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Automatizace oznámení o ukončení zaměstnance CMA_C1521 – Automatizace oznámení o ukončení zaměstnance Ručně, zakázáno 1.1.0

Transfer personálu

ID: FedRAMP High PS-5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zahájení akcí převodu nebo opětovného přiřazení CMA_0333 – Zahájení akcí převodu nebo opětovného přiřazení Ručně, zakázáno 1.1.0
Úprava autorizace přístupu při převodu personálu CMA_0374 – Úprava autorizace přístupu při převodu personálu Ručně, zakázáno 1.1.0
Upozorňovat na ukončení nebo převod CMA_0381 – oznámení při ukončení nebo převodu Ručně, zakázáno 1.1.0
Opětovné hodnocení přístupu při převodu personálu CMA_0424 - Opětovné hodnocení přístupu při převodu personálu Ručně, zakázáno 1.1.0

Přístupové smlouvy

ID: FedRAMP High PS-6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentovat smlouvy o přístupu organizace CMA_0192 – Zdokumentovat smlouvy o přístupu organizace Ručně, zakázáno 1.1.0
Vynucení pravidel chování a smluv o přístupu CMA_0248 – vynucování pravidel chování a smluv o přístupu Ručně, zakázáno 1.1.0
Ujistěte se, že jsou smlouvy o přístupu podepsány nebo odstoupit včas. CMA_C1528 – zajištění, že jsou smlouvy o přístupu podepsány nebo odstoupit včas Ručně, zakázáno 1.1.0
Vyžadovat, aby uživatelé podepsali přístupové smlouvy. CMA_0440 – Vyžadovat, aby uživatelé podepsali přístupovou smlouvu Ručně, zakázáno 1.1.0
Aktualizace smluv o přístupu organizace CMA_0520 – Aktualizace smluv o přístupu organizace Ručně, zakázáno 1.1.0

Zabezpečení pracovníků třetích stran

ID: FedRAMP High PS-7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentovat požadavky na zabezpečení pracovníků třetích stran CMA_C1531 – Zdokumentovat požadavky na zabezpečení pracovníků třetích stran Ručně, zakázáno 1.1.0
Vytvoření požadavků na zabezpečení pracovníků třetích stran CMA_C1529 – Vytvoření požadavků na zabezpečení pracovníků třetích stran Ručně, zakázáno 1.1.0
Monitorování dodržování předpisů poskytovatele třetích stran CMA_C1533 – Monitorování dodržování předpisů poskytovatelů třetích stran Ručně, zakázáno 1.1.0
Vyžadování oznámení o převodu nebo ukončení pracovníka třetí strany CMA_C1532 – Vyžadování oznámení o převodu nebo ukončení pracovníka třetí strany Ručně, zakázáno 1.1.0
Vyžadovat, aby poskytovatelé třetích stran dodržovali zásady a postupy zabezpečení pracovníků. CMA_C1530 – Vyžadovat, aby poskytovatelé třetích stran dodržovali zásady a postupy zabezpečení pracovníků Ručně, zakázáno 1.1.0

Schválení personálu

ID: FedRAMP High PS-8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace formálního procesu sankcí CMA_0317 – implementace formálního procesu sankcí Ručně, zakázáno 1.1.0
Upozornit pracovníky na sankce CMA_0380 – upozornit pracovníky na sankce Ručně, zakázáno 1.1.0

Hodnocení rizika

Zásady a postupy posouzení rizik

ID: Vlastnictví FedRAMP High RA-1: Shared

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace zásad a postupů posouzení rizik CMA_C1537 – Kontrola a aktualizace zásad a postupů posouzení rizik Ručně, zakázáno 1.1.0

Kategorizace zabezpečení

ID: Vlastnictví FedRAMP High RA-2: Shared

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kategorizace informací CMA_0052 – kategorizace informací Ručně, zakázáno 1.1.0
Vývoj schémat obchodní klasifikace CMA_0155 – vývoj schémat obchodní klasifikace Ručně, zakázáno 1.1.0
Ujistěte se, že je schválená kategorizace zabezpečení. CMA_C1540 – Ujistěte se, že je schválená kategorizace zabezpečení. Ručně, zakázáno 1.1.0
Kontrola aktivity a analýzy popisků CMA_0474 – Kontrola aktivit a analýz popisků Ručně, zakázáno 1.1.0

Hodnocení rizika

ID: FedRAMP High RA-3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Posouzení rizik CMA_C1543 – Posouzení rizik Ručně, zakázáno 1.1.0
Posouzení rizik a distribuce výsledků CMA_C1544 – Posouzení rizik a distribuce výsledků Ručně, zakázáno 1.1.0
Posouzení rizik a zdokumentování výsledků CMA_C1542 – Posouzení rizik a zdokumentování výsledků Ručně, zakázáno 1.1.0
Provedení posouzení rizik CMA_0388 – provedení posouzení rizik Ručně, zakázáno 1.1.0

Kontrola ohrožení zabezpečení

ID: FedRAMP High RA-5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. AuditIfNotExists, zakázáno 3.0.0
Služba Azure Defender for App Service by měla být povolená. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, zakázáno 1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Služba Azure Defender for Key Vault by měla být povolená. Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender for Resource Manager by měl být povolený. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Měl by být povolený Microsoft Defender pro úložiště. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, zakázáno 1.0.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0
Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 4.1.0
Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. AuditIfNotExists, zakázáno 1.0.0
Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. AuditIfNotExists, zakázáno 3.1.0
Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 1.0.1
Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 3.0.0
V pracovních prostorech Synapse by se mělo povolit posouzení ohrožení zabezpečení. Zjišťování, sledování a náprava potenciálních ohrožení zabezpečení konfigurací opakovaných kontrol posouzení ohrožení zabezpečení SQL v pracovních prostorech Synapse AuditIfNotExists, zakázáno 1.0.0

Funkce nástroje pro aktualizaci

ID: FedRAMP High RA-5 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0

Aktualizace podle frekvence / před novou kontrolou / při zjištění

ID: Vlastnictví FedRAMP High RA-5 (2): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0

Šířka / hloubka pokrytí

ID: Vlastnictví FedRAMP High RA-5 (3): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0

Zjistitelné informace

ID: Vlastnictví FedRAMP High RA-5 (4): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Provedení akce v reakci na informace o zákazníci CMA_C1554 – provedení akce v reakci na informace o zákazníci Ručně, zakázáno 1.1.0

Privilegovaný přístup

ID: Vlastnictví FedRAMP High RA-5 (5): Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace privilegovaného přístupu pro provádění aktivit kontroly ohrožení zabezpečení CMA_C1555 – Implementace privilegovaného přístupu pro provádění aktivit kontroly ohrožení zabezpečení Ručně, zakázáno 1.1.0

Automatizované analýzy trendu

ID: Vlastnictví FedRAMP High RA-5 (6) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Sledování a hlášení slabých míst zabezpečení CMA_0384 – sledování a hlášení slabých stránek zabezpečení Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Modelování hrozeb CMA_0392 – modelování hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0

Kontrola historických protokolů auditu

ID: Vlastnictví FedRAMP High RA-5 (8) : Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Audit privilegovaných funkcí CMA_0019 – Audit privilegovaných funkcí Ručně, zakázáno 1.1.0
Audit stavu uživatelského účtu CMA_0020 – Audit stavu uživatelského účtu Ručně, zakázáno 1.1.0
Korelace záznamů auditu CMA_0087 – Korelace záznamů auditu Ručně, zakázáno 1.1.0
Určení auditovatelných událostí CMA_0137 – Určení auditovatelných událostí Ručně, zakázáno 1.1.0
Stanovení požadavků na kontrolu auditu a vytváření sestav CMA_0277 – Vytvoření požadavků na kontrolu auditu a vytváření sestav Ručně, zakázáno 1.1.0
Integrace kontroly auditu, analýzy a generování sestav CMA_0339 – Integrace kontroly auditu, analýzy a generování sestav Ručně, zakázáno 1.1.0
Integrace zabezpečení cloudových aplikací se siem CMA_0340 – Integrace zabezpečení cloudových aplikací se siem Ručně, zakázáno 1.1.0
Kontrola protokolů zřizování účtů CMA_0460 – Kontrola protokolů zřizování účtů Ručně, zakázáno 1.1.0
Týdenní kontrola přiřazení správců CMA_0461 – týdenní kontrola přiřazení správců Ručně, zakázáno 1.1.0
Kontrola dat auditu CMA_0466 – Kontrola dat auditu Ručně, zakázáno 1.1.0
Přehled sestavy cloudových identit CMA_0468 – Přehled sestav cloudových identit Ručně, zakázáno 1.1.0
Kontrola událostí přístupu k řízeným složkům CMA_0471 – Kontrola kontrolovaných událostí přístupu ke složce Ručně, zakázáno 1.1.0
Kontrola událostí ochrany zneužití CMA_0472 – Kontrola událostí ochrany zneužití Ručně, zakázáno 1.1.0
Kontrola aktivity souborů a složek CMA_0473 – Kontrola aktivity souborů a složek Ručně, zakázáno 1.1.0
Týdenní kontrola změn skupin rolí CMA_0476 – týdenní kontrola změn skupin rolí Ručně, zakázáno 1.1.0

Korelace informací o kontrole

ID: Vlastnictví FedRAMP High RA-5 (10) : Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Korelace informací o kontrole ohrožení zabezpečení CMA_C1558 – Korelace informací o kontrole ohrožení zabezpečení Ručně, zakázáno 1.1.1

Získání systémů a služeb

Zásady a postupy získávání systémů a služeb

ID: FedRAMP High SA-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace zásad a postupů získávání systémů a služeb CMA_C1560 – Kontrola a aktualizace zásad a postupů získávání systémů a služeb Ručně, zakázáno 1.1.0

Přidělení prostředků

ID: FedRAMP High SA-2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Sladění obchodních cílů a cílů IT CMA_0008 – sladění obchodních cílů a cílů IT Ručně, zakázáno 1.1.0
Přidělení prostředků při určování požadavků na informační systém CMA_C1561 – Přidělení prostředků při určování požadavků na informační systém Ručně, zakázáno 1.1.0
Vytvoření samostatné řádkové položky v dokumentaci k rozpočtování CMA_C1563 – Vytvoření samostatné řádkové položky v dokumentaci k rozpočtování Ručně, zakázáno 1.1.0
Vytvoření programu ochrany osobních údajů CMA_0257 – Vytvoření programu ochrany osobních údajů Ručně, zakázáno 1.1.0
Řízení přidělování prostředků CMA_0293 – řízení přidělování prostředků Ručně, zakázáno 1.1.0
Zabezpečení závazku od vedení CMA_0489 – zabezpečený závazek od vedení Ručně, zakázáno 1.1.0

Životní cyklus vývoje systému

ID: FedRAMP High SA-3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování rolí zabezpečení informací a zodpovědností CMA_C1565 – Definování rolí zabezpečení informací a odpovědností Ručně, zakázáno 1.1.0
Identifikace jednotlivců s rolemi zabezpečení a zodpovědnostmi CMA_C1566 – Identifikace jednotlivců s rolemi zabezpečení a zodpovědnostmi Ručně, zakázáno 1.1.1
Integrace procesu řízení rizik do SDLC CMA_C1567 – Integrace procesu řízení rizik do SDLC Ručně, zakázáno 1.1.0

Proces získání

ID: FedRAMP High SA-4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Určení závazků dodavatelů CMA_0140 – Určení závazků dodavatelů Ručně, zakázáno 1.1.0
Kritéria přijetí smlouvy o pořízení dokumentu CMA_0187 – Kritéria přijetí smlouvy o pořízení dokumentu Ručně, zakázáno 1.1.0
Ochrana osobních údajů v kupních smlouvách CMA_0194 - Ochrana osobních údajů v kupních smlouvách Ručně, zakázáno 1.1.0
Ochrana informací o zabezpečení ve smlouvách o pořízení CMA_0195 – ochrana bezpečnostních údajů v kupních smlouvách Ručně, zakázáno 1.1.0
Požadavky na dokument pro použití sdílených dat v kontraktech CMA_0197 – požadavky na dokument pro použití sdílených dat ve smlouvách Ručně, zakázáno 1.1.0
Zdokumentování požadavků na záruku zabezpečení v kupních smlouvách CMA_0199 – Zdokumentování požadavků na záruku zabezpečení v rámci kupních smluv Ručně, zakázáno 1.1.0
Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání CMA_0200 – Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání Ručně, zakázáno 1.1.0
Zdokumentování funkčních požadavků na zabezpečení ve smlouvách o získání CMA_0201 – Zdokumentování požadavků na funkčnost zabezpečení ve smlouvách o získání Ručně, zakázáno 1.1.0
Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv Ručně, zakázáno 1.1.0
Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích. CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení Ručně, zakázáno 1.1.0
Zdokumentujte ochranu údajů o držitelích karet ve smlouvách třetích stran. CMA_0207 - Zdokumentujte ochranu údajů držitelů karet ve smlouvách třetích stran. Ručně, zakázáno 1.1.0

Funkční vlastnosti ovládacích prvků zabezpečení

ID: FedRAMP High SA-4 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Získání funkčních vlastností ovládacích prvků zabezpečení CMA_C1575 – získání funkčních vlastností kontrolních mechanismů zabezpečení Ručně, zakázáno 1.1.0

Informace o návrhu a implementaci ovládacích prvků zabezpečení

ID: FedRAMP High SA-4 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Získání informací o návrhu a implementaci pro bezpečnostní prvky CMA_C1576 – Získání informací o návrhu a implementaci bezpečnostních prvků Ručně, zakázáno 1.1.1

Plán průběžného monitorování

ID: FedRAMP High SA-4 (8) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Získání plánu průběžného monitorování pro bezpečnostní prvky CMA_C1577 – Získání plánu průběžného monitorování pro kontrolní mechanismy zabezpečení Ručně, zakázáno 1.1.0

Funkce / Porty / Protokoly / Používané služby

ID: FedRAMP High SA-4 (9) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vyžadování vývojáře k identifikaci portů, protokolů a služeb SDLC CMA_C1578 – Vyžaduje vývojáře, aby identifikoval porty, protokoly a služby SDLC. Ručně, zakázáno 1.1.0

Použití schválených pivních výrobků

ID: FedRAMP High SA-4 (10) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Využití technologie schválené fiPS 201 pro PIV CMA_C1579 – zaměstnat technologii schválenou FIPS 201 pro PIV Ručně, zakázáno 1.1.0

Dokumentace k informačnímu systému

ID: FedRAMP High SA-5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Distribuce dokumentace k informačnímu systému CMA_C1584 – Distribuce dokumentace k informačnímu systému Ručně, zakázáno 1.1.0
Zdokumentovat akce definované zákazníkem CMA_C1582 – Zdokumentovat akce definované zákazníkem Ručně, zakázáno 1.1.0
Získání dokumentace pro správce CMA_C1580 – Získání dokumentace pro správce Ručně, zakázáno 1.1.0
Získání dokumentace k funkcím zabezpečení uživatele CMA_C1581 – Získání dokumentace k funkcím zabezpečení uživatele Ručně, zakázáno 1.1.0
Ochrana dokumentace pro správce a uživatele CMA_C1583 – Ochrana dokumentace pro správce a uživatele Ručně, zakázáno 1.1.0

Služby externího informačního systému

ID: FedRAMP High SA-9 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování a zdokumentujte dohled nad státní správou CMA_C1587 – Definování a dokument vládní dohled Ručně, zakázáno 1.1.0
Vyžadovat, aby externí poskytovatelé služeb splňovali požadavky na zabezpečení CMA_C1586 – Vyžadovat, aby externí poskytovatelé služeb splňovali požadavky na zabezpečení Ručně, zakázáno 1.1.0
Kontrola dodržování zásad a smluv poskytovatele cloudových služeb CMA_0469 – Kontrola dodržování zásad a smluv poskytovatele cloudových služeb Ručně, zakázáno 1.1.0
Projít nezávislou kontrolou zabezpečení CMA_0515 – Projděte si nezávislou kontrolu zabezpečení Ručně, zakázáno 1.1.0

Posouzení rizik / Schválení organizace

ID: FedRAMP High SA-9 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Posouzení rizika v relacích třetích stran CMA_0014 – Posouzení rizika v relacích třetích stran Ručně, zakázáno 1.1.0
Získání schválení pro akvizice a outsourcing CMA_C1590 – získání schválení pro akvizice a outsourcing Ručně, zakázáno 1.1.0

Identifikace funkcí / portů / protokolů / služeb

ID: FedRAMP High SA-9 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Identifikace externích poskytovatelů služeb CMA_C1591 – Identifikace externích poskytovatelů služeb Ručně, zakázáno 1.1.0

Konzistentní zájmy spotřebitelů a poskytovatelů

ID: FedRAMP High SA-9 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zajištění konzistentního splnění zájmů zákazníků externími poskytovateli CMA_C1592 – zajištění konzistentního splnění zájmů zákazníků externími poskytovateli Ručně, zakázáno 1.1.0

Zpracování, úložiště a umístění služby

ID: FedRAMP High SA-9 (5) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Omezení umístění zpracování informací, úložiště a služeb CMA_C1593 – Omezení umístění zpracování informací, úložiště a služeb Ručně, zakázáno 1.1.0

Správa konfigurací pro vývojáře

ID: FedRAMP High SA-10 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řešení ohrožení zabezpečení kódování CMA_0003 – Řešení ohrožení zabezpečení kódování Ručně, zakázáno 1.1.0
Vývoj a zdokumentovat požadavky na zabezpečení aplikací CMA_0148 – Vývoj a zdokumentovat požadavky na zabezpečení aplikací Ručně, zakázáno 1.1.0
Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích. CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení Ručně, zakázáno 1.1.0
Vytvoření zabezpečeného programu pro vývoj softwaru CMA_0259 – vytvoření zabezpečeného programu pro vývoj softwaru Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0
Vyžadovat, aby vývojáři dokumentovat schválené změny a potenciální dopad CMA_C1597 – Vyžadovat, aby vývojáři zdokumentovali schválené změny a potenciální dopad Ručně, zakázáno 1.1.0
Vyžadovat, aby vývojáři implementovali jenom schválené změny. CMA_C1596 – Vyžadovat, aby vývojáři implementovali jenom schválené změny Ručně, zakázáno 1.1.0
Vyžadování vývojářů ke správě integrity změn CMA_C1595 – Vyžadování vývojářů ke správě integrity změn Ručně, zakázáno 1.1.0

Ověření integrity softwaru a firmwaru

ID: FedRAMP High SA-10 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ověření integrity softwaru, firmwaru a informací CMA_0542 – Ověření integrity softwaru, firmwaru a informací Ručně, zakázáno 1.1.0

Testování a vyhodnocení zabezpečení pro vývojáře

ID: FedRAMP High SA-11 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0
Vyžadovat, aby vývojáři vytvořili důkaz o provádění plánu posouzení zabezpečení. CMA_C1602 – Vyžaduje, aby vývojáři vytvořili důkaz o provádění plánu posouzení zabezpečení. Ručně, zakázáno 1.1.0

Ochrana dodavatelského řetězce

ID: FedRAMP High SA-12 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Posouzení rizika v relacích třetích stran CMA_0014 – Posouzení rizika v relacích třetích stran Ručně, zakázáno 1.1.0
Definování požadavků na dodávky zboží a služeb CMA_0126 – Definování požadavků na dodávky zboží a služeb Ručně, zakázáno 1.1.0
Určení závazků dodavatelů CMA_0140 – Určení závazků dodavatelů Ručně, zakázáno 1.1.0
Stanovení zásad pro řízení rizik dodavatelského řetězce CMA_0275 – Vytvoření zásad pro řízení rizik dodavatelského řetězce Ručně, zakázáno 1.1.0

Vývojový proces, standardy a nástroje

ID: FedRAMP High SA-15 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola procesu vývoje, standardů a nástrojů CMA_C1610 – kontrola procesu vývoje, standardů a nástrojů Ručně, zakázáno 1.1.0

Školení poskytované vývojářem

ID: FedRAMP High SA-16 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vyžadovat, aby vývojáři poskytovali školení CMA_C1611 – Vyžadovat, aby vývojáři poskytli školení Ručně, zakázáno 1.1.0

Architektura a návrh zabezpečení pro vývojáře

ID: FedRAMP High SA-17 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vyžadovat, aby vývojáři vytvořili architekturu zabezpečení CMA_C1612 – Vyžadovat, aby vývojáři vytvořili architekturu zabezpečení Ručně, zakázáno 1.1.0
Vyžadování vývojářů k popisu přesných funkcí zabezpečení CMA_C1613 – Vyžadovat, aby vývojáři popsali přesné funkce zabezpečení Ručně, zakázáno 1.1.0
Vyžadovat, aby vývojáři poskytovali jednotný přístup k ochraně zabezpečení CMA_C1614 – Vyžadování, aby vývojáři poskytovali jednotný přístup k ochraně zabezpečení Ručně, zakázáno 1.1.0

Ochrana systému a komunikací

Zásady a postupy ochrany systémů a komunikací

ID: FedRAMP High SC-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace zásad a postupů ochrany systémů a komunikací CMA_C1616 – Kontrola a aktualizace zásad a postupů ochrany systémů a komunikací Ručně, zakázáno 1.1.0

Dělení aplikace

ID: FedRAMP High SC-2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace vzdáleného přístupu CMA_0024 – Autorizace vzdáleného přístupu Ručně, zakázáno 1.1.0
Samostatné funkce správy uživatelských a informačních systémů CMA_0493 – Samostatné funkce správy uživatelských a informačních systémů Ručně, zakázáno 1.1.0
Použití vyhrazených počítačů pro úlohy správy CMA_0527 – Použití vyhrazených počítačů pro úlohy správy Ručně, zakázáno 1.1.0

Izolace funkce zabezpečení

ID: FedRAMP High SC-3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). AuditIfNotExists, zakázáno 2.0.0

Ochrana před odepřením služby

ID: FedRAMP High SC-5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Měla by být povolená služba Azure DDoS Protection. Ochrana před útoky DDoS by měla být povolená pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. AuditIfNotExists, zakázáno 3.0.1
Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. Audit, Odepřít, Zakázáno 1.0.2
Vývoj a zdokumentujte plán reakce DDoS CMA_0147 – Vývoj a zdokumentujte plán reakce DDoS Ručně, zakázáno 1.1.0
Předávání IP na virtuálním počítači by mělo být zakázané. Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. AuditIfNotExists, zakázáno 3.0.0
Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. Audit, Odepřít, Zakázáno 2.0.0

Dostupnost prostředku

ID: FedRAMP High SC-6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení přidělování prostředků CMA_0293 – řízení přidělování prostředků Ručně, zakázáno 1.1.0
Správa dostupnosti a kapacity CMA_0356 – Správa dostupnosti a kapacity Ručně, zakázáno 1.1.0
Zabezpečení závazku od vedení CMA_0489 – zabezpečený závazek od vedení Ručně, zakázáno 1.1.0

Ochrana hranic

ID: FedRAMP High SC-7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, zakázáno 1.0.1 – zastaralé
[Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, zakázáno 3.0.1 – zastaralé
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace AuditIfNotExists, zakázáno 3.0.0-preview
[Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 3.1.0-preview
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. AuditIfNotExists, zakázáno 3.0.0
Služby API Management by měly používat virtuální síť. Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. Audit, Odepřít, Zakázáno 1.0.2
Konfigurace aplikace by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, zakázáno 1.0.2
Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. Audit, zakázáno 2.0.1
Prostředky azure AI Services by měly omezit síťový přístup. Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. Audit, Odepřít, Zakázáno 3.2.0
Rozhraní Azure API for FHIR by mělo používat privátní propojení. Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. Audit, zakázáno 1.0.0
Azure Cache for Redis by měl používat privátní propojení Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, zakázáno 1.0.0
Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Odepřít, Zakázáno 1.0.0
Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Odepřít, Zakázáno 1.0.0
Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. Audit, Odepřít, Zakázáno 2.1.0
Azure Data Factory by měla používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, zakázáno 1.0.0
Domény Služby Azure Event Grid by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. Audit, zakázáno 1.0.2
Témata služby Azure Event Grid by měla používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. Audit, zakázáno 1.0.2
Synchronizace souborů Azure by měl používat privátní propojení Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. AuditIfNotExists, zakázáno 1.0.0
Služba Azure Key Vault by měla mít povolenou bránu firewall. Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Odepřít, Zakázáno 3.2.1
Služby Azure Key Vault by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, zakázáno 1.0.0
Obory názvů služby Azure Service Bus by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, zakázáno 1.0.0
Služba Azure SignalR by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. Audit, zakázáno 1.0.0
Pracovní prostory Azure Synapse by měly používat private link. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, zakázáno 1.0.1
Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. Audit, Odepřít, Zakázáno 1.0.2
Služba Azure Web PubSub by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. Audit, zakázáno 1.0.0
Registry kontejnerů by neměly umožňovat neomezený síťový přístup Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet Audit, Odepřít, Zakázáno 2.0.0
Registry kontejnerů by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. Audit, zakázáno 1.0.1
Účty Cosmos DB by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, zakázáno 1.0.0
Prostředky přístupu k diskům by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, zakázáno 1.0.0
Obory názvů centra událostí by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, zakázáno 1.0.0
Implementace ochrany hranic systému CMA_0328 – Implementace ochrany hranic systému Ručně, zakázáno 1.1.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. Audit, zakázáno 1.0.0
Předávání IP na virtuálním počítači by mělo být zakázané. Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. AuditIfNotExists, zakázáno 3.0.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Porty pro správu by měly být na virtuálních počítačích zavřené. Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. AuditIfNotExists, zakázáno 3.0.0
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. Audit, zakázáno 1.1.0
Privátní koncový bod by měl být povolený pro servery MariaDB. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery MySQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery PostgreSQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. Audit, Odepřít, Zakázáno 1.1.0
Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.0
Přístup k veřejné síti by měl být pro servery MySQL zakázaný. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.0
Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.1
Účty úložiště by měly omezit přístup k síti Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. Audit, Odepřít, Zakázáno 1.1.1
Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. Audit, Odepřít, Zakázáno 1.0.1
Účty úložiště by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, zakázáno 2.0.0
Podsítě by měly být přidružené ke skupině zabezpečení sítě. Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. AuditIfNotExists, zakázáno 3.0.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Zakázáno, Odepřít 1.1.0
Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. Audit, Odepřít, Zakázáno 2.0.0

Přístupové body

ID: FedRAMP High SC-7 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, zakázáno 1.0.1 – zastaralé
[Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, zakázáno 3.0.1 – zastaralé
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace AuditIfNotExists, zakázáno 3.0.0-preview
[Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 3.1.0-preview
Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. AuditIfNotExists, zakázáno 3.0.0
Služby API Management by měly používat virtuální síť. Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. Audit, Odepřít, Zakázáno 1.0.2
Konfigurace aplikace by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, zakázáno 1.0.2
Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. Audit, zakázáno 2.0.1
Prostředky azure AI Services by měly omezit síťový přístup. Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. Audit, Odepřít, Zakázáno 3.2.0
Rozhraní Azure API for FHIR by mělo používat privátní propojení. Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. Audit, zakázáno 1.0.0
Azure Cache for Redis by měl používat privátní propojení Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, zakázáno 1.0.0
Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Odepřít, Zakázáno 1.0.0
Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Odepřít, Zakázáno 1.0.0
Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. Audit, Odepřít, Zakázáno 2.1.0
Azure Data Factory by měla používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, zakázáno 1.0.0
Domény Služby Azure Event Grid by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. Audit, zakázáno 1.0.2
Témata služby Azure Event Grid by měla používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. Audit, zakázáno 1.0.2
Synchronizace souborů Azure by měl používat privátní propojení Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. AuditIfNotExists, zakázáno 1.0.0
Služba Azure Key Vault by měla mít povolenou bránu firewall. Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Odepřít, Zakázáno 3.2.1
Služby Azure Key Vault by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, zakázáno 1.0.0
Obory názvů služby Azure Service Bus by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, zakázáno 1.0.0
Služba Azure SignalR by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. Audit, zakázáno 1.0.0
Pracovní prostory Azure Synapse by měly používat private link. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, zakázáno 1.0.1
Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. Audit, Odepřít, Zakázáno 1.0.2
Služba Azure Web PubSub by měla používat privátní propojení. Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. Audit, zakázáno 1.0.0
Registry kontejnerů by neměly umožňovat neomezený síťový přístup Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet Audit, Odepřít, Zakázáno 2.0.0
Registry kontejnerů by měly používat privátní propojení. Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. Audit, zakázáno 1.0.1
Účty Cosmos DB by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, zakázáno 1.0.0
Prostředky přístupu k diskům by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, zakázáno 1.0.0
Obory názvů centra událostí by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, zakázáno 1.0.0
Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. Audit, zakázáno 1.0.0
Předávání IP na virtuálním počítači by mělo být zakázané. Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. AuditIfNotExists, zakázáno 3.0.0
Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. AuditIfNotExists, zakázáno 3.0.0
Porty pro správu by měly být na virtuálních počítačích zavřené. Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. AuditIfNotExists, zakázáno 3.0.0
Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc AuditIfNotExists, zakázáno 3.0.0
Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. Audit, zakázáno 1.1.0
Privátní koncový bod by měl být povolený pro servery MariaDB. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery MySQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Privátní koncový bod by měl být povolený pro servery PostgreSQL. Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. AuditIfNotExists, zakázáno 1.0.2
Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. Audit, Odepřít, Zakázáno 1.1.0
Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.0
Přístup k veřejné síti by měl být pro servery MySQL zakázaný. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.0
Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. Audit, Odepřít, Zakázáno 2.0.1
Účty úložiště by měly omezit přístup k síti Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. Audit, Odepřít, Zakázáno 1.1.1
Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. Audit, Odepřít, Zakázáno 1.0.1
Účty úložiště by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview AuditIfNotExists, zakázáno 2.0.0
Podsítě by měly být přidružené ke skupině zabezpečení sítě. Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. AuditIfNotExists, zakázáno 3.0.0
Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Zakázáno, Odepřít 1.1.0
Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. Audit, Odepřít, Zakázáno 2.0.0

Externí telekomunikační služby

ID: FedRAMP High SC-7 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace spravovaného rozhraní pro každou externí službu CMA_C1626 – Implementace spravovaného rozhraní pro každou externí službu Ručně, zakázáno 1.1.0
Implementace ochrany hranic systému CMA_0328 – Implementace ochrany hranic systému Ručně, zakázáno 1.1.0
Zabezpečení rozhraní s externími systémy CMA_0491 – Zabezpečení rozhraní s externími systémy Ručně, zakázáno 1.1.0

Zabránění rozdělení tunelového propojení pro vzdálená zařízení

ID: FedRAMP High SC-7 (7) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zabránění rozdělení tunelového propojení pro vzdálená zařízení CMA_C1632 – Zabránění rozdělení tunelového propojení pro vzdálená zařízení Ručně, zakázáno 1.1.0

Směrování provozu na ověřené proxy servery

ID: FedRAMP High SC-7 (8) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Směrování provozu přes ověřenou proxy síť CMA_C1633 – Směrování provozu přes ověřenou proxy síť Ručně, zakázáno 1.1.0

Ochrana založená na hostiteli

ID: FedRAMP High SC-7 (12) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace ochrany hranic systému CMA_0328 – Implementace ochrany hranic systému Ručně, zakázáno 1.1.0

Izolace nástrojů zabezpečení / mechanismů / podpůrných komponent

ID: FedRAMP High SC-7 (13) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Izolace systémů SecurID, systémů správy incidentů zabezpečení CMA_C1636 – izolace systémů SecurID, systémů správy incidentů zabezpečení Ručně, zakázáno 1.1.0

Zabezpečení selhání

ID: FedRAMP High SC-7 (18) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace ochrany hranic systému CMA_0328 – Implementace ochrany hranic systému Ručně, zakázáno 1.1.0
Správa přenosů mezi pohotovostními a aktivními součástmi systému CMA_0371 – Správa přenosů mezi pohotovostními a aktivními součástmi systému Ručně, zakázáno 1.1.0

Dynamická izolace / oddělení

ID: FedRAMP High SC-7 (20) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zajištění dynamické izolace prostředků s podporou systému CMA_C1638 – zajištění dynamické izolace prostředků Ručně, zakázáno 1.1.0

Izolace komponent informačního systému

ID: FedRAMP High SC-7 (21) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Použití ochrany hranic k izolaci informačních systémů CMA_C1639 – použití ochrany hranic k izolaci informačních systémů Ručně, zakázáno 1.1.0

Důvěrnost a integrita přenosu

ID: FedRAMP High SC-8 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. Audit, Zakázáno, Odepřít 4.0.0
Aplikace app Service by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. AuditIfNotExists, zakázáno 2.1.0
Clustery Azure HDInsight by měly k šifrování komunikace mezi uzly clusteru Azure HDInsight používat šifrování během přenosu. Během přenosu mezi uzly clusteru Azure HDInsight je možné manipulovat s daty. Povolení šifrování při přenosu řeší problémy se zneužitím a manipulací během tohoto přenosu. Audit, Odepřít, Zakázáno 1.0.0
Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
Aplikace funkcí by měly být přístupné jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. Audit, Zakázáno, Odepřít 5.0.0
Aplikace funkcí by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. AuditIfNotExists, zakázáno 2.1.0
Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 8.2.0
Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace Audit, Odepřít, Zakázáno 1.0.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Ochrana hesel pomocí šifrování CMA_0408 – Ochrana hesel pomocí šifrování Ručně, zakázáno 1.1.0
Zabezpečený přenos do účtů úložiště by měl být povolený. Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. Audit, Odepřít, Zakázáno 2.0.0
Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. AuditIfNotExists, zakázáno 4.1.1

Kryptografická nebo alternativní fyzická ochrana

ID: FedRAMP High SC-8 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. Audit, Zakázáno, Odepřít 4.0.0
Aplikace app Service by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. AuditIfNotExists, zakázáno 2.1.0
Clustery Azure HDInsight by měly k šifrování komunikace mezi uzly clusteru Azure HDInsight používat šifrování během přenosu. Během přenosu mezi uzly clusteru Azure HDInsight je možné manipulovat s daty. Povolení šifrování při přenosu řeší problémy se zneužitím a manipulací během tohoto přenosu. Audit, Odepřít, Zakázáno 1.0.0
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů Ručně, zakázáno 1.1.0
Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. Audit, zakázáno 1.0.1
Aplikace funkcí by měly být přístupné jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. Audit, Zakázáno, Odepřít 5.0.0
Aplikace funkcí by měly vyžadovat jenom FTPS. Povolte vynucení FTPS pro lepší zabezpečení. AuditIfNotExists, zakázáno 3.0.0
Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. AuditIfNotExists, zakázáno 2.1.0
Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 8.2.0
Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace Audit, Odepřít, Zakázáno 1.0.0
Zabezpečený přenos do účtů úložiště by měl být povolený. Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. Audit, Odepřít, Zakázáno 2.0.0
Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. AuditIfNotExists, zakázáno 4.1.1

Odpojení sítě

ID: FedRAMP High SC-10 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Opětovné ověření nebo ukončení uživatelské relace CMA_0421 – Opětovné ověření nebo ukončení uživatelské relace Ručně, zakázáno 1.1.0

Vytvoření a správa kryptografických klíčů

ID: FedRAMP High SC-12 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Trezory služby Azure Recovery Services by měly pro šifrování zálohovaných dat používat klíče spravované zákazníkem. Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních zálohovaných dat. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/AB-CmkEncryption. Audit, Odepřít, Zakázáno 1.0.0-preview
[Preview]: Data služby zřizování zařízení služby IoT Hub by se měla šifrovat pomocí klíčů spravovaných zákazníkem (CMK) Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části služby IoT Hub device Provisioning. Neaktivní uložená data se automaticky šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Další informace o šifrování CMK najdete na adrese https://aka.ms/dps/CMK. Audit, Odepřít, Zakázáno 1.0.0-preview
Prostředky azure AI Services by měly šifrovat neaktivní uložená data pomocí klíče spravovaného zákazníkem (CMK) Použití klíčů spravovaných zákazníkem k šifrování neaktivních uložených dat poskytuje větší kontrolu nad životním cyklem klíčů, včetně obměně a správy. To je zvlášť důležité pro organizace, které mají související požadavky na dodržování předpisů. Toto se ve výchozím nastavení neposoudí a mělo by se použít pouze v případě, že je to vyžadováno požadavky na dodržování předpisů nebo omezující zásady. Pokud tato možnost není povolená, budou data šifrovaná pomocí klíčů spravovaných platformou. Pokud chcete tento parametr implementovat, aktualizujte parametr Effect v zásadách zabezpečení pro příslušný obor. Audit, Odepřít, Zakázáno 2.2.0
Rozhraní Azure API for FHIR by mělo k šifrování neaktivních uložených dat použít klíč spravovaný zákazníkem. Klíč spravovaný zákazníkem můžete použít k řízení šifrování neaktivních uložených dat uložených v rozhraní Azure API for FHIR, pokud se jedná o zákonný požadavek nebo požadavek na dodržování předpisů. Klíče spravované zákazníkem také poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí vrstvu provedenou pomocí klíčů spravovaných službou. audit, Audit, Disabled, Disabled 1.1.0
Účty Azure Automation by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Ke správě šifrování neaktivních účtů Azure Automation použijte klíče spravované zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/automation-cmk. Audit, Odepřít, Zakázáno 1.0.0
Účet Azure Batch by měl k šifrování dat používat klíče spravované zákazníkem. Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních uložených dat účtu Batch. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/Batch-CMK. Audit, Odepřít, Zakázáno 1.0.1
Skupina kontejnerů služby Azure Container Instance by měla k šifrování používat klíč spravovaný zákazníkem. Zabezpečte kontejnery s větší flexibilitou pomocí klíčů spravovaných zákazníkem. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. Audit, Zakázáno, Odepřít 1.0.0
Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Ke správě šifrování neaktivních uložených dat ve službě Azure Cosmos DB použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/cosmosdb-cmk. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Úlohy Azure Data Boxu by měly k šifrování hesla zařízení použít klíč spravovaný zákazníkem. Pomocí klíče spravovaného zákazníkem můžete řídit šifrování hesla pro odemknutí zařízení pro Azure Data Box. Klíče spravované zákazníkem také pomáhají spravovat přístup k odemknutí zařízení službou Data Box, aby bylo možné zařízení připravit a kopírovat data automatizovaným způsobem. Data na samotném zařízení jsou už zašifrovaná pomocí 256bitového šifrování Advanced Encryption Standard a heslo pro odemknutí zařízení se ve výchozím nastavení šifruje pomocí spravovaného klíče Microsoftu. Audit, Odepřít, Zakázáno 1.0.0
Šifrování neaktivních uložených dat v Azure Data Exploreru by mělo používat klíč spravovaný zákazníkem. Povolení šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem v clusteru Azure Data Exploreru poskytuje další kontrolu nad klíčem používaným šifrováním neaktivních uložených dat. Tato funkce se často vztahuje na zákazníky se zvláštními požadavky na dodržování předpisů a ke správě klíčů vyžaduje službu Key Vault. Audit, Odepřít, Zakázáno 1.0.0
Datové továrny Azure by měly být šifrované pomocí klíče spravovaného zákazníkem. Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části služby Azure Data Factory. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/adf-cmk. Audit, Odepřít, Zakázáno 1.0.1
Clustery Azure HDInsight by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Ke správě šifrování neaktivních clusterů Azure HDInsight použijte klíče spravované zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/hdi.cmk. Audit, Odepřít, Zakázáno 1.0.1
Clustery Azure HDInsight by měly k šifrování neaktivních uložených dat používat šifrování na hostiteli. Povolení šifrování na hostiteli pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Když povolíte šifrování na hostiteli, data uložená na hostiteli virtuálního počítače se šifrují v klidovém stavu a toky zašifrované do služby Storage. Audit, Odepřít, Zakázáno 1.0.0
Pracovní prostory Služby Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem. Správa šifrování neaktivních uložených dat pracovního prostoru Služby Azure Machine Learning pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk. Audit, Odepřít, Zakázáno 1.1.0
Clustery protokolů služby Azure Monitor by měly být šifrované pomocí klíče spravovaného zákazníkem. Vytvořte cluster protokolů Azure Monitoru s šifrováním klíčů spravovaných zákazníkem. Ve výchozím nastavení se data protokolu šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů. Klíč spravovaný zákazníkem ve službě Azure Monitor poskytuje větší kontrolu nad přístupem k datům, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Úlohy Azure Stream Analytics by měly k šifrování dat používat klíče spravované zákazníkem. Klíče spravované zákazníkem použijte, pokud chcete bezpečně ukládat všechna metadata a privátní datové prostředky úloh Stream Analytics ve vašem účtu úložiště. Díky tomu máte úplnou kontrolu nad tím, jak se data Stream Analytics šifrují. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Pracovní prostory Azure Synapse by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Pomocí klíčů spravovaných zákazníkem můžete řídit šifrování neaktivních uložených dat v pracovních prostorech Azure Synapse. Klíče spravované zákazníkem poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí šifrování pomocí klíčů spravovaných službou. Audit, Odepřít, Zakázáno 1.0.0
Služba Bot Service by měla být šifrovaná pomocí klíče spravovaného zákazníkem. Azure Bot Service automaticky šifruje váš prostředek za účelem ochrany dat a splnění závazků organizace v oblasti zabezpečení a dodržování předpisů. Ve výchozím nastavení se používají šifrovací klíče spravované Microsoftem. Pokud chcete větší flexibilitu při správě klíčů nebo řízení přístupu k vašemu předplatnému, vyberte klíče spravované zákazníkem, označované také jako BYOK (Bring Your Own Key). Další informace o šifrování služby Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. Šifrování disků s operačním systémem a datových disků pomocí klíčů spravovaných zákazníkem poskytuje větší kontrolu a větší flexibilitu při správě klíčů. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. Audit, Odepřít, Zakázáno 1.0.1
Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem. Ke správě šifrování zbývajícího obsahu vašich registrů použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK. Audit, Odepřít, Zakázáno 1.1.2
Definování procesu správy fyzických klíčů CMA_0115 – Definování procesu správy fyzických klíčů Ručně, zakázáno 1.1.0
Definování kryptografického použití CMA_0120 – Definování kryptografického použití Ručně, zakázáno 1.1.0
Definování požadavků organizace na správu kryptografických klíčů CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů Ručně, zakázáno 1.1.0
Určení požadavků na kontrolní výraz CMA_0136 – Určení požadavků na kontrolní výraz Ručně, zakázáno 1.1.0
Obory názvů centra událostí by měly pro šifrování používat klíč spravovaný zákazníkem. Azure Event Hubs podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (výchozí) nebo klíčů spravovaných zákazníkem. Volba šifrování dat pomocí klíčů spravovaných zákazníkem umožňuje přiřadit, otočit, zakázat a odvolat přístup ke klíčům, které bude centrum událostí používat k šifrování dat ve vašem oboru názvů. Centrum událostí podporuje pouze šifrování pomocí klíčů spravovaných zákazníkem pro obory názvů ve vyhrazených clusterech. Audit, zakázáno 1.0.0
Účty služby HPC Cache by pro šifrování měly používat klíč spravovaný zákazníkem. Správa šifrování ve zbývající části služby Azure HPC Cache s využitím klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Audit, Zakázáno, Odepřít 2.0.0
Vystavení certifikátů veřejného klíče CMA_0347 – Vydávání certifikátů veřejného klíče Ručně, zakázáno 1.1.0
Prostředí integrační služby Logic Apps by mělo být šifrované pomocí klíčů spravovaných zákazníkem. Nasaďte do prostředí integrační služby, abyste mohli spravovat šifrování zbývajících dat Logic Apps pomocí klíčů spravovaných zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Audit, Odepřít, Zakázáno 1.0.0
Správa symetrických kryptografických klíčů CMA_0367 – Správa symetrických kryptografických klíčů Ručně, zakázáno 1.1.0
Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. Zákazníci s vysokou úrovní zabezpečení, kteří se týkají rizika spojeného s jakýmkoli konkrétním šifrovacím algoritmem, implementací nebo klíčem, se mohou rozhodnout pro další vrstvu šifrování pomocí jiného šifrovacího algoritmu nebo režimu ve vrstvě infrastruktury pomocí šifrovacích klíčů spravovaných platformou. K použití dvojitého šifrování se vyžadují sady šifrování disků. Další informace najdete na adrese https://aka.ms/disks-doubleEncryption. Audit, Odepřít, Zakázáno 1.0.0
Servery MySQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Ke správě šifrování zbývajících serverů MySQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. AuditIfNotExists, zakázáno 1.0.4
Disky s operačním systémem a datovými disky by měly být šifrované pomocí klíče spravovaného zákazníkem. Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování zbývajícího obsahu spravovaných disků. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných platformou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/disks-cmk. Audit, Odepřít, Zakázáno 3.0.0
Servery PostgreSQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Ke správě šifrování zbývajících serverů PostgreSQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. AuditIfNotExists, zakázáno 1.0.4
Omezení přístupu k privátním klíčům CMA_0445 – Omezení přístupu k privátním klíčům Ručně, zakázáno 1.1.0
Uložené dotazy ve službě Azure Monitor by se měly ukládat do účtu úložiště zákazníka pro šifrování protokolů. Propojte účet úložiště s pracovním prostorem služby Log Analytics a chraňte uložené dotazy pomocí šifrování účtu úložiště. Klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů a k větší kontrole přístupu k uloženým dotazům ve službě Azure Monitor. Další podrobnosti o výše uvedených tématech najdete v tématu https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Obory názvů Service Bus Premium by měly pro šifrování používat klíč spravovaný zákazníkem. Azure Service Bus podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (výchozí) nebo klíčů spravovaných zákazníkem. Volba šifrování dat pomocí klíčů spravovaných zákazníkem umožňuje přiřadit, otočit, zakázat a odvolat přístup ke klíčům, které bude Service Bus používat k šifrování dat ve vašem oboru názvů. Všimněte si, že Service Bus podporuje pouze šifrování pomocí klíčů spravovaných zákazníkem pro obory názvů Premium. Audit, zakázáno 1.0.0
Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. Audit, Odepřít, Zakázáno 2.0.0
Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. Audit, Odepřít, Zakázáno 2.0.1
Obory šifrování účtu úložiště by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. Ke správě šifrování neaktivních rozsahů šifrování účtu úložiště použijte klíče spravované zákazníkem. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče trezoru klíčů Azure vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o oborech šifrování účtu úložiště najdete na adrese https://aka.ms/encryption-scopes-overview. Audit, Odepřít, Zakázáno 1.0.0
Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem. Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. Audit, zakázáno 1.0.3

Dostupnost

ID: FedRAMP High SC-12 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zachování dostupnosti informací CMA_C1644 – zachování dostupnosti informací Ručně, zakázáno 1.1.0

Symetrické klíče

ID: FedRAMP High SC-12 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytváření, řízení a distribuce symetrických kryptografických klíčů CMA_C1645 – vytváření, řízení a distribuce symetrických kryptografických klíčů Ručně, zakázáno 1.1.0

Asymetrické klíče

ID: FedRAMP High SC-12 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytváření, řízení a distribuce asymetrických kryptografických klíčů CMA_C1646 – vytváření, řízení a distribuce asymetrických kryptografických klíčů Ručně, zakázáno 1.1.0

Kryptografická ochrana

ID: FedRAMP High SC-13 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Definování kryptografického použití CMA_0120 – Definování kryptografického použití Ručně, zakázáno 1.1.0

Výpočetní zařízení pro spolupráci

ID: FedRAMP High SC-15 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Explicitní upozornění na používání výpočetních zařízení pro spolupráci CMA_C1649 – explicitně upozorňovat použití výpočetních zařízení pro spolupráci Ručně, zakázáno 1.1.1
Zakázání vzdálené aktivace výpočetních zařízení pro spolupráci CMA_C1648 – Zákaz vzdálené aktivace výpočetních zařízení pro spolupráci Ručně, zakázáno 1.1.0

Certifikáty infrastruktury veřejných klíčů

ID: FedRAMP High SC-17 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vystavení certifikátů veřejného klíče CMA_0347 – Vydávání certifikátů veřejného klíče Ručně, zakázáno 1.1.0

Mobilní kód

ID: FedRAMP High SC-18 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace, monitorování a řízení používání technologií mobilního kódu CMA_C1653 – Autorizace, monitorování a řízení používání technologií mobilního kódu Ručně, zakázáno 1.1.0
Definování přijatelných a nepřijatelných technologií mobilního kódu CMA_C1651 – Definování přijatelných a nepřijatelných technologií mobilního kódu Ručně, zakázáno 1.1.0
Stanovení omezení použití pro technologie mobilního kódu CMA_C1652 – Stanovení omezení použití pro technologie mobilního kódu Ručně, zakázáno 1.1.0

Voice Over Internet Protocol

ID: FedRAMP High SC-19 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace, monitorování a řízení voip CMA_0025 – Autorizace, monitorování a řízení voip Ručně, zakázáno 1.1.0
Stanovení omezení využití voip CMA_0280 – Vytvoření omezení využití voip Ručně, zakázáno 1.1.0

Zabezpečený název nebo služba překladu adres (autoritativní zdroj)

ID: FedRAMP High SC-20 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace služby name/address service odolné proti chybám CMA_0305 – Implementace služby s odolností proti chybám Ručně, zakázáno 1.1.0
Zadejte zabezpečené služby překladu názvů a adres. CMA_0416 – Poskytování zabezpečených služeb překladu adres a názvů Ručně, zakázáno 1.1.0

Služba překladu zabezpečených názvů a adres (rekurzivní překladač nebo překladač do mezipaměti)

ID: FedRAMP High SC-21 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace služby name/address service odolné proti chybám CMA_0305 – Implementace služby s odolností proti chybám Ručně, zakázáno 1.1.0
Ověření integrity softwaru, firmwaru a informací CMA_0542 – Ověření integrity softwaru, firmwaru a informací Ručně, zakázáno 1.1.0

Architektura a zřizování pro službu překladu názvů a adres

ID: FedRAMP High SC-22 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Implementace služby name/address service odolné proti chybám CMA_0305 – Implementace služby s odolností proti chybám Ručně, zakázáno 1.1.0

Pravost relace

ID: FedRAMP High SC-23 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Konfigurace pracovních stanic pro kontrolu digitálních certifikátů CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů Ručně, zakázáno 1.1.0
Vynucení náhodných jedinečných identifikátorů relace CMA_0247 – Vynucování náhodných jedinečných identifikátorů relací Ručně, zakázáno 1.1.0

Zneplatnění identifikátorů relace při odhlášení

ID: FedRAMP High SC-23 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zneplatnění identifikátorů relací při odhlášení CMA_C1661 – Zneplatnění identifikátorů relací při odhlášení Ručně, zakázáno 1.1.0

Selhání ve známém stavu

ID: FedRAMP High SC-24 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zajištění selhání informačního systému ve známém stavu CMA_C1662 – Zajištění selhání informačního systému ve známém stavu Ručně, zakázáno 1.1.0

Ochrana neaktivních uložených informací

ID: FedRAMP High SC-28 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Služba App Service Environment by měla mít povolené interní šifrování. Nastavení InternalEncryption na true zašifruje stránkovací soubor, pracovní disky a interní síťový provoz mezi front-endy a pracovními procesy v app Service Environment. Další informace najdete v https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptiontématu . Audit, zakázáno 1.0.1
Proměnné účtu Automation by měly být šifrované. Při ukládánícitlivýchch Audit, Odepřít, Zakázáno 1.1.0
Úlohy Azure Data Boxu by měly povolit dvojité šifrování neaktivních uložených dat na zařízení. Povolte druhou vrstvu softwarového šifrování neaktivních uložených dat v zařízení. Zařízení je již chráněno prostřednictvím 256bitového šifrování Advanced Encryption Standard pro neaktivní uložená data. Tato možnost přidá druhou vrstvu šifrování dat. Audit, Odepřít, Zakázáno 1.0.0
Clustery protokolů služby Azure Monitor by se měly vytvářet s povoleným šifrováním infrastruktury (dvojité šifrování). Pokud chcete zajistit, aby bylo zabezpečené šifrování dat povolené na úrovni služby a na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči, použijte vyhrazený cluster Služby Azure Monitor. Tato možnost je ve výchozím nastavení povolena, pokud je podporována v oblasti, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Zařízení Azure Stack Edge by měla používat dvojité šifrování Pokud chcete zabezpečit neaktivní uložená data na zařízení, ujistěte se, že jsou data dvakrát zašifrovaná, řídí se přístup k datům a po deaktivaci zařízení se data bezpečně vymažou z datových disků. Dvojité šifrování je použití dvou vrstev šifrování: 256bitové šifrování BitLockeru XTS-AES na datových svazcích a integrované šifrování pevných disků. Další informace najdete v dokumentaci k přehledu zabezpečení pro konkrétní zařízení Stack Edge. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Šifrování disků by mělo být povolené v Azure Data Exploreru. Povolení šifrování disků pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Audit, Odepřít, Zakázáno 2.0.0
V Azure Data Exploreru by se mělo povolit dvojité šifrování. Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. Audit, Odepřít, Zakázáno 2.0.0
Vytvoření postupu správy úniku dat CMA_0255 – Vytvoření postupu správy úniku dat Ručně, zakázáno 1.1.0
Pro servery Azure Database for MySQL by mělo být povolené šifrování infrastruktury. Povolte šifrování infrastruktury pro servery Azure Database for MySQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilním se standardem FIPS 140-2. Audit, Odepřít, Zakázáno 1.0.0
Pro servery Azure Database for PostgreSQL by mělo být povolené šifrování infrastruktury. Povolte šifrování infrastruktury pro servery Azure Database for PostgreSQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilními se standardem FIPS 140-2. Audit, Odepřít, Zakázáno 1.0.0
Ochrana speciálních informací CMA_0409 – Ochrana speciálních informací Ručně, zakázáno 1.1.0
Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. Audit, Odepřít, Zakázáno 1.1.0
Účty úložiště by měly mít šifrování infrastruktury. Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát. Audit, Odepřít, Zakázáno 1.0.0
Dočasné disky a mezipaměť pro fondy uzlů agenta v clusterech Azure Kubernetes Service by měly být šifrované na hostiteli. Kvůli zvýšení zabezpečení dat by se neaktivní uložená data uložená na hostiteli virtuálních počítačů azure Kubernetes Service šifrovala neaktivní uložená data. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. Audit, Odepřít, Zakázáno 1.0.1
transparentní šifrování dat v databázích SQL by měly být povolené Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. AuditIfNotExists, zakázáno 2.0.0
Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe. Audit, Odepřít, Zakázáno 1.0.0

Kryptografická ochrana

ID: FedRAMP High SC-28 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Služba App Service Environment by měla mít povolené interní šifrování. Nastavení InternalEncryption na true zašifruje stránkovací soubor, pracovní disky a interní síťový provoz mezi front-endy a pracovními procesy v app Service Environment. Další informace najdete v https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptiontématu . Audit, zakázáno 1.0.1
Proměnné účtu Automation by měly být šifrované. Při ukládánícitlivýchch Audit, Odepřít, Zakázáno 1.1.0
Úlohy Azure Data Boxu by měly povolit dvojité šifrování neaktivních uložených dat na zařízení. Povolte druhou vrstvu softwarového šifrování neaktivních uložených dat v zařízení. Zařízení je již chráněno prostřednictvím 256bitového šifrování Advanced Encryption Standard pro neaktivní uložená data. Tato možnost přidá druhou vrstvu šifrování dat. Audit, Odepřít, Zakázáno 1.0.0
Clustery protokolů služby Azure Monitor by se měly vytvářet s povoleným šifrováním infrastruktury (dvojité šifrování). Pokud chcete zajistit, aby bylo zabezpečené šifrování dat povolené na úrovni služby a na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči, použijte vyhrazený cluster Služby Azure Monitor. Tato možnost je ve výchozím nastavení povolena, pokud je podporována v oblasti, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Zařízení Azure Stack Edge by měla používat dvojité šifrování Pokud chcete zabezpečit neaktivní uložená data na zařízení, ujistěte se, že jsou data dvakrát zašifrovaná, řídí se přístup k datům a po deaktivaci zařízení se data bezpečně vymažou z datových disků. Dvojité šifrování je použití dvou vrstev šifrování: 256bitové šifrování BitLockeru XTS-AES na datových svazcích a integrované šifrování pevných disků. Další informace najdete v dokumentaci k přehledu zabezpečení pro konkrétní zařízení Stack Edge. audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno 1.1.0
Šifrování disků by mělo být povolené v Azure Data Exploreru. Povolení šifrování disků pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Audit, Odepřít, Zakázáno 2.0.0
V Azure Data Exploreru by se mělo povolit dvojité šifrování. Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. Audit, Odepřít, Zakázáno 2.0.0
Implementace ovládacích prvků pro zabezpečení všech médií CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií Ručně, zakázáno 1.1.0
Pro servery Azure Database for MySQL by mělo být povolené šifrování infrastruktury. Povolte šifrování infrastruktury pro servery Azure Database for MySQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilním se standardem FIPS 140-2. Audit, Odepřít, Zakázáno 1.0.0
Pro servery Azure Database for PostgreSQL by mělo být povolené šifrování infrastruktury. Povolte šifrování infrastruktury pro servery Azure Database for PostgreSQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilními se standardem FIPS 140-2. Audit, Odepřít, Zakázáno 1.0.0
Ochrana přenášených dat pomocí šifrování CMA_0403 – Ochrana přenášených dat pomocí šifrování Ručně, zakázáno 1.1.0
Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. Audit, Odepřít, Zakázáno 1.1.0
Účty úložiště by měly mít šifrování infrastruktury. Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát. Audit, Odepřít, Zakázáno 1.0.0
Dočasné disky a mezipaměť pro fondy uzlů agenta v clusterech Azure Kubernetes Service by měly být šifrované na hostiteli. Kvůli zvýšení zabezpečení dat by se neaktivní uložená data uložená na hostiteli virtuálních počítačů azure Kubernetes Service šifrovala neaktivní uložená data. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. Audit, Odepřít, Zakázáno 1.0.1
transparentní šifrování dat v databázích SQL by měly být povolené Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. AuditIfNotExists, zakázáno 2.0.0
Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe. Audit, Odepřít, Zakázáno 1.0.0

Izolace procesů

ID: FedRAMP High SC-39 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Údržba samostatných spouštěcích domén pro spuštěné procesy CMA_C1665 – Údržba samostatných spouštěcích domén pro spuštěné procesy Ručně, zakázáno 1.1.0

Integrita systému a informací

Zásady a postupy integrity systému a informací

ID: FedRAMP High SI-1 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Kontrola a aktualizace zásad a postupů integrity informací CMA_C1667 – Kontrola a aktualizace zásad a postupů integrity informací Ručně, zakázáno 1.1.0

Náprava chyb

ID: FedRAMP High SI-2 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. AuditIfNotExists, zakázáno 3.0.0
Aplikace app Service by měly používat nejnovější verzi HTTP. Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. AuditIfNotExists, zakázáno 4.0.0
Služba Azure Defender for App Service by měla být povolená. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, zakázáno 1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Služba Azure Defender for Key Vault by měla být povolená. Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender for Resource Manager by měl být povolený. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Aplikace funkcí by měly používat nejnovější verzi HTTP. Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. AuditIfNotExists, zakázáno 4.0.0
Začlenění nápravy chyb do správy konfigurace CMA_C1671 – Začlenění nápravy chyb do správy konfigurace Ručně, zakázáno 1.1.0
Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. Upgradujte cluster Služby Kubernetes na novější verzi Kubernetes, abyste chránili před známými ohroženími zabezpečení ve vaší aktuální verzi Kubernetes. Chyba zabezpečení CVE-2019-9946 byla opravena ve verzi Kubernetes 1.11.9+, 1.12.7+, 1.13.5 a 1.14.0+ Audit, zakázáno 1.0.2
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Měl by být povolený Microsoft Defender pro úložiště. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, zakázáno 1.0.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0
Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. AuditIfNotExists, zakázáno 4.1.0
Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. AuditIfNotExists, zakázáno 3.1.0

Automatizovaný stav nápravy chyb

ID: FedRAMP High SI-2 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Automatizace nápravy chyb CMA_0027 – Automatizace nápravy chyb Ručně, zakázáno 1.1.0
Náprava chyb informačního systému CMA_0427 – Náprava chyb informačního systému Ručně, zakázáno 1.1.0

Doba nápravy chyb / srovnávacích testů pro opravné akce

ID: FedRAMP High SI-2 (3) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Stanovení srovnávacích testů pro nápravu chyb CMA_C1675 – stanovení srovnávacích testů pro nápravu chyb Ručně, zakázáno 1.1.0
Měření doby mezi identifikací chyb a nápravou chyb CMA_C1674 – měření doby mezi identifikací chyb a nápravou chyb Ručně, zakázáno 1.1.0

Ochrana škodlivého kódu

ID: FedRAMP High SI-3 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Týdenní kontrola stavu ochrany před hrozbami CMA_0479 – týdenní kontrola stavu ochrany před hrozbami Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0
Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). AuditIfNotExists, zakázáno 2.0.0

Centrální správa

ID: FedRAMP High SI-3 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0
Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). AuditIfNotExists, zakázáno 2.0.0

Automatické aktualizace

ID: FedRAMP High SI-3 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0

Detekce na základě nepřiřazené architektury

ID: FedRAMP High SI-3 (7) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Provádění kontrol ohrožení zabezpečení CMA_0393 – Provádění kontrol ohrožení zabezpečení Ručně, zakázáno 1.1.0
Týdenní kontrola detekce malwaru CMA_0475 – týdenní kontrola zpráv o detekcích malwaru Ručně, zakázáno 1.1.0
Aktualizace definic antivirového softwaru CMA_0517 – Aktualizace definic antivirové ochrany Ručně, zakázáno 1.1.0

Monitorování informačního systému

ID: FedRAMP High SI-4 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
[Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace AuditIfNotExists, zakázáno 3.0.0-preview
[Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, zakázáno 6.0.0-preview
[Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1-preview
[Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. AuditIfNotExists, zakázáno 1.0.1-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-preview
[Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. AuditIfNotExists, zakázáno 1.0.2-preview
Služba Azure Defender for App Service by měla být povolená. Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. AuditIfNotExists, zakázáno 1.0.3
Servery Azure Defenderu pro Azure SQL Database by měly být povolené. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Služba Azure Defender for Key Vault by měla být povolená. Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. AuditIfNotExists, zakázáno 1.0.3
Azure Defender for Resource Manager by měl být povolený. Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, zakázáno 1.0.0
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Na počítačích by se měl povolit Azure Defender pro SQL servery. Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. AuditIfNotExists, zakázáno 1.0.2
Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. Audit sql serverů bez rozšířeného zabezpečení dat AuditIfNotExists, zakázáno 2.0.1
Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. AuditIfNotExists, zakázáno 1.0.2
Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. AuditIfNotExists, zakázáno 1.0.3
Měla by být povolená služba Microsoft Defender for Containers. Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. AuditIfNotExists, zakázáno 1.0.0
Měl by být povolený Microsoft Defender pro úložiště. Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. AuditIfNotExists, zakázáno 1.0.0
Služba Network Watcher by měla být povolená. Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. AuditIfNotExists, zakázáno 3.0.0
Získání právního stanoviska k monitorování systémových aktivit CMA_C1688 – získání právního stanoviska k monitorování systémových činností Ručně, zakázáno 1.1.0
Provedení analýzy trendu u hrozeb CMA_0389 – provedení analýzy trendů u hrozeb Ručně, zakázáno 1.1.0
Podle potřeby zadejte informace o monitorování. CMA_C1689 – podle potřeby poskytovat informace o monitorování Ručně, zakázáno 1.1.0
Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol AuditIfNotExists, zakázáno 1.0.1

Automatizované nástroje pro analýzu v reálném čase

ID: FedRAMP High SI-4 (2) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentovat operace zabezpečení CMA_0202 – Zdokumentovat operace zabezpečení Ručně, zakázáno 1.1.0
Zapnutí senzorů pro řešení zabezpečení koncových bodů CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů Ručně, zakázáno 1.1.0

Příchozí a odchozí komunikační provoz

ID: FedRAMP High SI-4 (4) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Autorizace, monitorování a řízení voip CMA_0025 – Autorizace, monitorování a řízení voip Ručně, zakázáno 1.1.0
Implementace ochrany hranic systému CMA_0328 – Implementace ochrany hranic systému Ručně, zakázáno 1.1.0
Správa bran CMA_0363 – Správa bran Ručně, zakázáno 1.1.0
Směrování provozu přes spravované síťové přístupové body CMA_0484 – Směrování provozu přes spravované síťové přístupové body Ručně, zakázáno 1.1.0

Upozornění generovaná systémem

ID: FedRAMP High SI-4 (5) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Pracovníci upozornění na přelití informací CMA_0007 – pracovníci upozornění na únik informací Ručně, zakázáno 1.1.0
Vývoj plánu reakce na incidenty CMA_0145 – Vytvoření plánu reakce na incidenty Ručně, zakázáno 1.1.0
Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci Ručně, zakázáno 1.1.0

Detekce bezdrátového vniknutí

ID: FedRAMP High SI-4 (14) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zdokumentovat řízení zabezpečení bezdrátového přístupu CMA_C1695 – zdokumentovat řízení zabezpečení bezdrátového přístupu Ručně, zakázáno 1.1.0

Neoprávněné síťové služby

ID: FedRAMP High SI-4 (22) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zjištění síťových služeb, které nebyly autorizované nebo schválené CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené Ručně, zakázáno 1.1.0

Indikátory ohrožení zabezpečení

ID: FedRAMP High SI-4 (24) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zjištění indikátorů ohrožení zabezpečení CMA_C1702 – objevte všechny indikátory ohrožení zabezpečení Ručně, zakázáno 1.1.0

Výstrahy zabezpečení, informační zpravodaje a direktivy

ID: FedRAMP High SI-5 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Šíření výstrah zabezpečení pracovníkům CMA_C1705 – Šíření výstrah zabezpečení pracovníkům Ručně, zakázáno 1.1.0
Vytvoření programu analýzy hrozeb CMA_0260 – Vytvoření programu analýzy hrozeb Ručně, zakázáno 1.1.0
Generování interních výstrah zabezpečení CMA_C1704 – Generování interních výstrah zabezpečení Ručně, zakázáno 1.1.0
Implementace direktiv zabezpečení CMA_C1706 – Implementace direktiv zabezpečení Ručně, zakázáno 1.1.0

Automatizované výstrahy a informační zpravodaje

ID: FedRAMP High SI-5 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Použití automatizovaných mechanismů pro výstrahy zabezpečení CMA_C1707 – Použití automatizovaných mechanismů pro výstrahy zabezpečení Ručně, zakázáno 1.1.0

Ověření funkce zabezpečení

ID: FedRAMP High SI-6 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Vytvoření alternativních akcí pro identifikované anomálie CMA_C1711 – Vytvoření alternativních akcí pro identifikované anomálie Ručně, zakázáno 1.1.0
Upozorněte pracovníky na neúspěšné testy ověření zabezpečení. CMA_C1710 – informujte pracovníky o neúspěšných testech ověření zabezpečení. Ručně, zakázáno 1.1.0
Ověření bezpečnostní funkce s definovanou frekvencí CMA_C1709 – provedení ověření funkce zabezpečení s definovanou frekvencí Ručně, zakázáno 1.1.0
Ověření funkcí zabezpečení CMA_C1708 – Ověření funkcí zabezpečení Ručně, zakázáno 1.1.0

Integrita softwaru, firmwaru a informací

ID: FedRAMP High SI-7 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ověření integrity softwaru, firmwaru a informací CMA_0542 – Ověření integrity softwaru, firmwaru a informací Ručně, zakázáno 1.1.0

Kontroly integrity

ID: FedRAMP High SI-7 (1) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ověření integrity softwaru, firmwaru a informací CMA_0542 – Ověření integrity softwaru, firmwaru a informací Ručně, zakázáno 1.1.0
Zobrazení a konfigurace diagnostických dat systému CMA_0544 – Zobrazení a konfigurace diagnostických dat systému Ručně, zakázáno 1.1.0

Automatizovaná reakce na porušení integrity

ID: FedRAMP High SI-7 (5) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Použití automatického vypnutí/restartování při zjištění porušení CMA_C1715 – Použití automatického vypnutí/restartování při zjištění porušení Ručně, zakázáno 1.1.0

Binární nebo strojový spustitelný kód

ID: FedRAMP High SI-7 (14) Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Zakázání binárního nebo strojově spustitelného kódu CMA_C1717 – Zakázání binárního nebo strojově spustitelného kódu Ručně, zakázáno 1.1.0

Ověření vstupu informací

ID: FedRAMP High SI-10 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Ověření vstupu informací CMA_C1723 – provedení ověření vstupu informací Ručně, zakázáno 1.1.0

Zpracování chyb

ID: FedRAMP High SI-11 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Generování chybových zpráv CMA_C1724 – Generování chybových zpráv Ručně, zakázáno 1.1.0
Zobrazení chybových zpráv CMA_C1725 – zobrazení chybových zpráv Ručně, zakázáno 1.1.0

Zpracování a uchovávání informací

ID: FedRAMP High SI-12 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Řízení fyzického přístupu CMA_0081 – řízení fyzického přístupu Ručně, zakázáno 1.1.0
Správa vstupu, výstupu, zpracování a ukládání dat CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat Ručně, zakázáno 1.1.0
Kontrola aktivity a analýzy popisků CMA_0474 – Kontrola aktivit a analýz popisků Ručně, zakázáno 1.1.0

Ochrana paměti

ID: FedRAMP High SI-16 Vlastnictví: Sdílené

Název
(Azure Portal)
Popis Účinek Verze
(GitHub)
Měla by být povolená služba Azure Defender pro servery. Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. AuditIfNotExists, zakázáno 1.0.3
Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). AuditIfNotExists, zakázáno 2.0.0

Další kroky

Další články o službě Azure Policy: