Podrobnosti o srovnávacím testu CIS Microsoft Azure Foundations 1.3.0 (Azure Government) v rámci integrované iniciativy
Následující článek podrobně popisuje, jak se předdefinované definice iniciativy Azure Policy mapuje na domény dodržování předpisů a kontroly v srovnávacím testu CIS Microsoft Azure Foundations 1.3.0 (Azure Government). Další informace o tomto standardu dodržování předpisů naleznete v tématu CIS Microsoft Azure Foundations Benchmark 1.3.0. Pokud chcete porozumět vlastnictví, projděte si typ zásad a sdílenou odpovědnost v cloudu.
Následující mapování jsou na ovládací prvky CIS Microsoft Azure Foundations Benchmark 1.3.0 . Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy . Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásady na webu Azure Portal a vyberte stránku Definice . Pak vyhledejte a vyberte předdefinované definici iniciativy CIS Microsoft Azure Foundations Benchmark v1.3.0 .
Důležité
Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné definice zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi služby Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.
1 Správa identit a přístupu
Ujistěte se, že je pro všechny privilegované uživatele povolené vícefaktorové ověřování.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že je pro všechny uživatele bez oprávnění povolené vícefaktorové ověřování.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že se uživatelé typu host kontrolují měsíčně.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 1.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
2 Security Center
Ujistěte se, že je Azure Defender pro servery nastavený na Zapnuto.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
Ujistěte se, že je u e-mailu kontaktu zabezpečení nakonfigurovaná další e-mailová adresa.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.13 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Ujistěte se, že je upozornění na výstrahy s následující závažností nastaveno na hodnotu Vysoká.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.14 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Ujistěte se, že je Azure Defender pro databázové servery Azure SQL nastavený na Zapnuto.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
Ujistěte se, že je Azure Defender pro službu Storage nastavený na Zapnuto.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Microsoft Defender for Storage (Classic). | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.4 |
Ujistěte se, že je Azure Defender pro Kubernetes nastavený na Zapnuto.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že je Azure Defender pro registry kontejnerů nastavený na Zapnuto.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 2.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
3 Účty úložiště
Ujistěte se, že je vyžadován zabezpečený přenos nastavený na Povoleno.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
Ujistěte se, že výchozí pravidlo přístupu k síti pro účty úložiště je nastavené na odepření.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
Ujistěte se, že je pro přístup k účtu úložiště povolená možnost Důvěryhodné služby Microsoftu.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty úložiště by měly umožňovat přístup z důvěryhodných služby Microsoft | Některé služby Microsoft, které komunikují s účty úložiště, fungují ze sítí, u kterých není možné udělit přístup prostřednictvím pravidel sítě. Pokud chcete tomuto typu služby pomoct, povolte sadě důvěryhodných služby Microsoft obejít pravidla sítě. Tyto služby pak budou pro přístup k účtu úložiště používat silné ověřování. | Audit, Odepřít, Zakázáno | 1.0.0 |
Zajištění šifrování úložiště důležitých dat pomocí klíče spravovaného zákazníkem
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 3.9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem. | Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, zakázáno | 1.0.3 |
4 Databázové služby
Ujistěte se, že je auditování nastavené na Zapnuto.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.1.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
Ujistěte se, že je šifrování dat nastavené na Zapnuto ve službě SQL Database.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.1.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
Ujistěte se, že uchovávání auditování je větší než 90 dnů.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.1.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Serveru na cíl účtu úložiště na nejméně 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů. | AuditIfNotExists, zakázáno | 3.0.0 |
Ujistěte se, že je rozšířená ochrana před internetovými útoky (ATP) na SQL Serveru nastavená na Povoleno.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.2.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
Nastavením účtu úložiště se ujistěte, že je na SQL Serveru povolené posouzení ohrožení zabezpečení (VA).
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.2.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
| Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
Ujistěte se, že je pro databázový server PostgreSQL nastavená možnost Vynutit připojení SSL na POVOLENO.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
Ujistěte se, že je pro databázový server MySQL nastavená možnost Vynutit připojení SSL na POVOLENO.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
Ujistěte se, že je parametr serveru log_checkpoints nastavený na ON pro databázový server PostgreSQL.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro databázové servery PostgreSQL by měly být povolené kontrolní body protokolů. | Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_checkpoints nastavení. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že je parametr serveru log_connections nastavený na ON pro databázový server PostgreSQL.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro databázové servery PostgreSQL by měla být povolená připojení protokolů. | Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_connections nastavení. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že parametr serveru log_disconnections je pro databázový server PostgreSQL nastavený na ZAPNUTO.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro databázové servery PostgreSQL by se měly protokolovat odpojení. | Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povolení log_disconnections. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že je parametr serveru connection_throttling nastavený na ON pro databázový server PostgreSQL.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.3.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro databázové servery PostgreSQL by se mělo povolit omezování připojení. | Tato zásada pomáhá auditovat všechny databáze PostgreSQL ve vašem prostředí bez povoleného omezování připojení. Toto nastavení umožňuje dočasné omezování připojení na IP adresu pro příliš mnoho neplatných selhání přihlášení pomocí hesla. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že je nakonfigurovaný správce Azure Active Directory.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že ochrana transparentním šifrováním dat SQL Serveru je šifrovaná pomocí klíče spravovaného zákazníkem.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 4.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.1 |
5 Protokolování a monitorování
Ujistěte se, že účet úložiště obsahující kontejner s protokoly aktivit je šifrovaný pomocí BYOK (použití vlastního klíče).
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účet úložiště obsahující kontejner s protokoly aktivit musí být šifrovaný pomocí BYOK. | Tato zásada provede audit, jestli je účet úložiště obsahující kontejner s protokoly aktivit šifrovaný pomocí BYOK. Zásady fungují jenom v případě, že účet úložiště leží ve stejném předplatném jako protokoly aktivit podle návrhu. Další informace o šifrování neaktivních uložených dat ve službě Azure Storage najdete tady https://aka.ms/azurestoragebyok. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že je protokolování pro Službu Azure KeyVault povolené.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.1.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
Ujistěte se, že pro přiřazení zásad vytvoření existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. | Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 3.0.0 |
Ujistěte se, že pro přiřazení zásad odstranění existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. | Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 3.0.0 |
Ujistěte se, že pro skupinu zabezpečení sítě pro vytvoření nebo aktualizaci skupiny zabezpečení sítě existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace správy. | Tato zásada audituje konkrétní operace správy bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že pro odstranění skupiny zabezpečení sítě existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace správy. | Tato zásada audituje konkrétní operace správy bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že pro pravidlo vytvoření nebo aktualizace pravidla skupiny zabezpečení sítě existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace správy. | Tato zásada audituje konkrétní operace správy bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že pro pravidlo odstranit skupinu zabezpečení sítě existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace správy. | Tato zásada audituje konkrétní operace správy bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že pro řešení pro vytvoření nebo aktualizaci řešení zabezpečení existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že pro řešení odstranění zabezpečení existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že pro pravidlo brány firewall pro vytvoření nebo aktualizaci nebo odstranění pravidla brány firewall SQL Serveru existuje upozornění protokolu aktivit.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.2.9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace správy. | Tato zásada audituje konkrétní operace správy bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že jsou diagnostické protokoly povolené pro všechny služby, které je podporují.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 5.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
| Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v účtech Batch by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v centru událostí by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v Logic Apps by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.1.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Service Bus by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
6 Sítě
Ujistěte se, že je služba Network Watcher povolená.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 6.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
7 Virtuální počítače
Ujistěte se, že virtuální počítače využívají Spravované disky
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit virtuálních počítačů, které nepoužívají spravované disky | Tato zásada audituje virtuální počítače, které nevyužívají spravované disky. | audit | 1.0.0 |
Ujistěte se, že jsou nainstalovaná jenom schválená rozšíření.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 7.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. | Tato zásada řídí rozšíření virtuálních počítačů, která nejsou schválena. | Audit, Odepřít, Zakázáno | 1.0.0 |
8 Další aspekty zabezpečení
Ujistěte se, že je trezor klíčů obnovitelný.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Trezory klíčů by měly mít povolenou ochranu před odstraněním. | Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. | Audit, Odepřít, Zakázáno | 2.1.0 |
Povolení řízení přístupu na základě role (RBAC) ve službě Azure Kubernetes Services
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 8.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení přístupu na základě role (RBAC) by se mělo používat ve službách Kubernetes Services. | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. | Audit, zakázáno | 1.0.4 |
9 AppService
Ujistěte se, že je ve službě Aplikace Azure Service nastavené ověřování služby App Service.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly mít povolené ověřování. | Aplikace Azure ověřování služby je funkce, která může bránit anonymním požadavkům HTTP v přístupu k webové aplikaci nebo ověřovat ty, které mají tokeny před tím, než se dostanou k webové aplikaci. | AuditIfNotExists, zakázáno | 2.0.1 |
| Aplikace funkcí by měly mít povolené ověřování. | Aplikace Azure ověřování služby je funkce, která může zabránit anonymním požadavkům HTTP v přístupu k aplikaci funkcí nebo ověření těch, které mají tokeny před dosažením aplikace funkcí. | AuditIfNotExists, zakázáno | 3.0.0 |
Ujistěte se, že jsou zakázaná nasazení FTP.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace app Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
Ujistěte se, že webová aplikace přesměruje veškerý provoz HTTP na HTTPS ve službě Aplikace Azure Service.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
Ujistěte se, že webová aplikace používá nejnovější verzi šifrování TLS.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.1.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.1.0 |
Ujistěte se, že je ve webové aplikaci nastavená možnost Klientské certifikáty (příchozí klientské certifikáty) na Zapnuto.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. K aplikaci budou mít přístup jenom klienti s platnými certifikáty. Tuto zásadu nahradila nová zásada se stejným názvem, protože Http 2.0 nepodporuje klientské certifikáty. | Audit, zakázáno | 3.1.0 zastaralé |
| Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
Ujistěte se, že je ve službě App Service povolená registrace v Azure Active Directory.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
Ujistěte se, že verze HTTP je nejnovější, pokud se používá ke spuštění webové aplikace.
ID: Doporučení srovnávacího testu CIS Microsoft Azure Foundations 9.9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace app Service by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
Další kroky
Další články o službě Azure Policy:
- Přehled dodržování právních předpisů
- Podívejte se na strukturu definice iniciativy.
- Projděte si další příklady v ukázkách služby Azure Policy.
- Projděte si Vysvětlení efektů zásad.
- Zjistěte, jak napravit nevyhovující prostředky.