Toewijzing van beheeropties van het blauwdrukvoorbeeld van de ISM-BEVEILIGING van de Australische overheid

Belangrijk

Op 11 juli 2026 worden blauwdrukken (preview) afgeschaft. Migreer uw bestaande blauwdrukdefinities en -toewijzingen naar sjabloonspecificaties en implementatiestacks. Blauwdrukartefacten moeten worden geconverteerd naar ARM JSON-sjablonen of Bicep-bestanden die worden gebruikt om implementatiestacks te definiëren. Zie voor meer informatie over het ontwerpen van een artefact als een ARM-resource:

• Beleid
• RBAC
• Implementaties

In het volgende artikel vindt u informatie over de manier waarop de Azure-blauwdrukken van de ISM-BEVEILIGING van de Australische overheid blauwdrukvoorbeelden worden toegewezen aan de beheeropties van ISM-BEVEILIGING. Zie ISM-BEVEILIGD voor meer informatie over de beheeropties.

De volgende toewijzingen zijn voor de beheeropties van ISM-BEVEILIGD. Gebruik de navigatie aan de rechterkant om rechtstreeks naar een toewijzing van een specifieke beheeroptie te gaan. Veel van de toegewezen beheeropties worden geïmplementeerd met een Azure Policy-initiatief. Als u het complete initiatief wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities. Zoek en selecteer vervolgens de [preview]: Controleer de ISM PROTECTED-controles van de Australische overheid en implementeer specifieke VM-extensies ter ondersteuning van ingebouwd beleidsinitiatief voor auditvereisten .

Belangrijk

Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsregels zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen de beheeropties en Azure Policy definities voor dit blauwdrukvoorbeeld voor compliance kunnen na verloop van tijd veranderen. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.

Locatiebeperkingen

Met deze blauwdruk kunt u de locatie voor de implementatie van alle resources en resourcegroepen tot 'Australië - centraal', 'Australië - centraal2', 'Australië - oost' en 'Australië - zuidoost' door de volgende Azure-beleidsdefinities toe te wijzen:

• Toegestane locaties (is vastgelegd in 'Australië - centraal', 'Australië - centraal2', 'Australië - oost', en 'Australië - zuidoost')
• Toegestane locaties voor resourcegroepen (is vastgelegd in 'Australië - centraal', 'Australië - centraal2', 'Australië - oost', en 'Australië - zuidoost')

Richtlijnen voor beveiliging medewerkers: toegang tot systemen en bijbehorende resources

0414 Medewerkers met toegang tot een systeem en bijbehorende resources zijn uniek identificeerbaar

• MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnement
• MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor uw abonnement
• MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnement

1503 Standaardtoegang tot systemen, toepassingen en gegevensopslag is beperkt tot de vereisten die medewerkers nodig hebben om hun taken uit te voeren

• Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnement
• Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement
• Controleresultaten weergeven van Windows-VM's waarop de groep Administrators een van de opgegeven leden bevat
• Vereisten implementeren om Windows-VM's te controleren waarvoor de groep Administrators een van de opgegeven leden bevat

1507 Bevoorrechte toegang tot systemen, toepassingen en gegevensopslag wordt gevalideerd bij de eerste aanvraag en wordt jaarlijks of frequenter opnieuw gevalideerd

• Controleresultaten weergeven van Windows-VM's waarop de groep Administrators een van de opgegeven leden bevat
• Vereisten implementeren om Windows-VM's te controleren waarvoor de groep Administrators een van de opgegeven leden bevat

1508 Bevoorrechte toegang tot systemen, toepassingen en gegevensopslag is beperkt tot de vereisten die medewerkers nodig hebben om hun taken uit te voeren

• Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnement
• Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement
• Controleresultaten weergeven van Windows-VM's waarop de groep Administrators een van de opgegeven leden bevat
• Vereisten implementeren om Windows-VM's te controleren waarvoor de groep Administrators een van de opgegeven leden bevat
• Just-In-Time-netwerktoegangsbeheer moet worden toegepast op virtuele machines

0415 Het gebruik van gedeelde gebruikersaccounts wordt strikt gecontroleerd en medewerkers die dergelijke accounts gebruiken, zijn uniek identificeerbaar

• Controleresultaten weergeven van Windows-VM's waarop de groep Administrators een van de opgegeven leden bevat
• Vereisten implementeren om Windows-VM's te controleren waarvoor de groep Administrators een van de opgegeven leden bevat

0445 Bevoorrechte gebruikers krijgen een speciaal bevoorrecht account toegewezen dat alleen wordt gebruikt voor taken die bevoorrechte toegang vereisen

• Controleresultaten weergeven van Windows-VM's waarop de groep Administrators een van de opgegeven leden bevat
• Vereisten implementeren om Windows-VM's te controleren waarvoor de groep Administrators een van de opgegeven leden bevat

0430 Toegang tot systemen, toepassingen en gegevensopslag wordt verwijderd of onderbroken op dezelfde dag dat medewerkers niet langer een rechtmatige vereiste hebben voor toegang

• Afgeschafte accounts moeten worden verwijderd uit uw abonnement
• Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement

0441 Wanneer medewerkers tijdelijke toegang tot een systeem krijgen, worden geldende beveiligingsmaatregelen ingesteld om hun toegang te beperken tot alleen de informatie die ze nodig hebben om hun taken uit te voeren

• Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement
• Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement
• Afgeschafte accounts moeten worden verwijderd uit uw abonnement
• Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement

Richtlijnen voor systeembeveiliging: beveiliging van het besturingssysteem

1407 De nieuwste versie (N) of N-1-versie van een besturingssysteem wordt gebruikt voor standaardbesturingsomgevingen (SOE's)

• Er moeten systeemupdates op uw computers worden geïnstalleerd
• Systeemupdates op virtuele-machineschaalsets moeten worden geïnstalleerd

0380 Onnodige besturingssysteemaccounts, software, onderdelen, services en functionaliteit worden verwijderd of uitgeschakeld

• Afgeschafte accounts moeten worden verwijderd uit uw abonnement
• Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement

1490 Een toepassing die een oplossing toestaat, wordt geïmplementeerd op alle servers om de uitvoering van uitvoerbare bestanden, softwarebibliotheken, scripts en installatieprogramma's te beperken tot een goedgekeurde set

• Adaptieve toepassingsregelaars moeten worden ingeschakeld op virtuele machines

1417 Antivirussoftware is geïmplementeerd op werkstations en servers en geconfigureerd met: ingeschakelde detectie op basis van handtekeningen op hoog niveau, ingeschakelde heuristische detectie op hoog niveau, detectiehandtekeningen worden gecontroleerd op actualiteit en minstens dagelijks bijgewerkt, automatische en regelmatige scans zijn geconfigureerd voor alle vaste schijven en verwisselbare media

• Microsoft IaaSAntimalware-uitbreiding moet zijn geïmplementeerd op Windows-servers
• De Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets
• Ontbrekende eindpuntbeveiliging bewaken in Azure Security Center

Richtlijnen voor systeembeveiliging: beveiliging van verificatie

1546 Gebruikers worden geverifieerd voordat ze toegang krijgen tot een systeem en de bijbehorende resources

• Onbeperkte netwerktoegang tot opslagaccounts controleren
• Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie
• Controleresultaten weergeven van Linux-VM's waarvoor externe verbindingen met accounts zonder wachtwoorden zijn toegestaan
• Vereisten implementeren om Linux-VM's te controleren waarvoor externe verbindingen met accounts zonder wachtwoorden zijn toegestaan
• Controleresultaten weergeven van Linux-VM's met accounts zonder wachtwoorden
• Vereisten implementeren om Linux-VM's met accounts zonder wachtwoorden te controleren

0974 Meervoudige verificatie wordt gebruikt voor verificatie van standaardgebruikers

• MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnement

1173 Meervoudige verificatie wordt gebruikt voor verificatie van alle bevoorrechte gebruikers en andere vertrouwensposities

• MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnement
• MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor uw abonnement

0421 Wachtwoordzinnen voor enkelvoudige verificatie bestaan uit minimaal 14 tekens met complexiteit, idealiter met vier willekeurige woorden

• Controleresultaten van configuraties voor Windows-VM's weergeven in 'Beveiligingsopties: Accountbeleid'
• Vereisten implementeren om configuraties voor Windows-VM's te controleren in 'Beveiligingsinstellingen: Accountbeleid'

Richtlijnen voor systeembeheer: systeembeheer

1384 Meervoudige verificatie wordt gebruikt voor verificatie van gebruikers wanneer ze bevoorrechte acties uitvoeren

• MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnement
• MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor uw abonnement
• MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnement

1386 Beheerverkeer mag alleen afkomstig zijn uit netwerkzones die worden gebruikt om systemen en toepassingen te beheren

• Just-In-Time-netwerktoegangsbeheer moet worden toegepast op virtuele machines
• Externe foutopsporing moet worden uitgeschakeld voor API-apps
• Externe foutopsporing moet worden uitgeschakeld voor functie-apps
• Externe foutopsporing moet worden uitgeschakeld voor webtoepassingen

Richtlijnen voor systeembeheer: systeempatches

1144 Kwetsbaarheden in de beveiliging van toepassingen en stuurprogramma's die zijn beoordeeld als extreme risico's worden gepatcht, bijgewerkt of verholpen binnen 48 uur na identificatie ervan door leveranciers, onafhankelijke derden, systeembeheerders of gebruikers

• Beveiligingsproblemen in uw SQL-databases moeten worden opgelost
• De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers
• De evaluatie van beveiligingsproblemen moet worden ingeschakeld voor uw beheerde SQL-exemplaren
• Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op machines
• Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteld
• Beveiligingsproblemen moeten worden opgelost met een oplossing voor evaluatie van beveiligingsproblemen
• Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld
• Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpen
• De instellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapporten

0940 Kwetsbaarheden in de beveiliging van toepassingen en stuurprogramma's die zijn beoordeeld als hoge risico's worden gepatcht, bijgewerkt of verholpen binnen twee weken na identificatie ervan door leveranciers, onafhankelijke derden, systeembeheerders of gebruikers

• Beveiligingsproblemen in uw SQL-databases moeten worden opgelost
• De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers
• De evaluatie van beveiligingsproblemen moet worden ingeschakeld voor uw beheerde SQL-exemplaren
• Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op virtuele machines
• Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteld
• Beveiligingsproblemen moeten worden opgelost met een oplossing voor evaluatie van beveiligingsproblemen
• Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld
• Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpen
• De instellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapporten

1472 Kwetsbaarheden in de beveiliging van toepassingen en stuurprogramma's die zijn beoordeeld als gemiddelde of lage risico's worden gepatcht, bijgewerkt of verholpen binnen één maand na identificatie ervan door leveranciers, onafhankelijke derden, systeembeheerders of gebruikers

• Beveiligingsproblemen in uw SQL-databases moeten worden opgelost
• De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers
• De evaluatie van beveiligingsproblemen moet worden ingeschakeld voor uw beheerde SQL-exemplaren
• Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op virtuele machines
• Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteld
• Beveiligingsproblemen moeten worden opgelost met een oplossing voor evaluatie van beveiligingsproblemen
• Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld
• Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpen
• De instellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapporten

1494 Kwetsbaarheden in de beveiliging van besturingssystemen en firmware die zijn beoordeeld als extreme risico's worden gepatcht, bijgewerkt of verholpen binnen 48 uur na identificatie ervan door leveranciers, onafhankelijke derden, systeembeheerders of gebruikers

• Beveiligingsproblemen in uw SQL-databases moeten worden opgelost
• De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers
• De evaluatie van beveiligingsproblemen moet worden ingeschakeld voor uw beheerde SQL-exemplaren
• Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op virtuele machines
• Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteld
• Beveiligingsproblemen moeten worden opgelost met een oplossing voor evaluatie van beveiligingsproblemen
• Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld
• Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpen
• De instellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapporten

1495 Kwetsbaarheden in de beveiliging van besturingssystemen en firmware die zijn beoordeeld als hoge risico's worden gepatcht, bijgewerkt of verholpen binnen twee weken na identificatie ervan door leveranciers, onafhankelijke derden, systeembeheerders of gebruikers

• Beveiligingsproblemen in uw SQL-databases moeten worden opgelost
• De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers
• De evaluatie van beveiligingsproblemen moet worden ingeschakeld voor uw beheerde SQL-exemplaren
• Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op virtuele machines
• Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteld
• Beveiligingsproblemen moeten worden opgelost met een oplossing voor evaluatie van beveiligingsproblemen
• Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld
• Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpen
• De instellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapporten

1496 Kwetsbaarheden in de beveiliging van besturingssystemen en firmware die zijn beoordeeld als gemiddelde of lage risico's worden gepatcht, bijgewerkt of verholpen binnen één maand na identificatie ervan door leveranciers, onafhankelijke derden, systeembeheerders of gebruikers

• Beveiligingsproblemen in uw SQL-databases moeten worden opgelost
• De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers
• De evaluatie van beveiligingsproblemen moet worden ingeschakeld voor uw beheerde SQL-exemplaren
• Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op virtuele machines
• Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteld
• Beveiligingsproblemen moeten worden opgelost met een oplossing voor evaluatie van beveiligingsproblemen
• Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld
• Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpen
• De instellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapporten

Richtlijnen voor systeembeheer: gegevensback-up en -herstel

1511 Back-ups van belangrijke gegevens, software en configuratie-instellingen worden minimaal dagelijks uitgevoerd

• Virtuele machines controleren waarop geen noodherstel is geconfigureerd

Richtlijnen voor systeembewaking: logboekregistratie en controle

1405 er wordt een centrale faciliteit voor logboekregistratie geïmplementeerd en systemen worden geconfigureerd om gebeurtenislogboeken zo snel mogelijk na de gebeurtenis op te slaan in de centrale faciliteit voor logboekregistratie

• Azure-abonnementen moeten een logboekprofiel voor het activiteitenlogboek hebben

0582 De volgende gebeurtenissen worden vastgelegd voor besturingssystemen: toegang tot belangrijke gegevens en processen, vastlopen van toepassingen en eventuele foutberichten, pogingen tot gebruik van speciale bevoegdheden, wijzigingen in accounts, wijzigingen in beveiligingsbeleid, wijzigingen in systeemconfiguraties, DNS- (Domeinnaamsystemen) en HTTP-aanvragen (Hypertext Transfer Protocol), mislukte pogingen om toegang te krijgen tot gegevens en systeemresources, servicefouten en het opnieuw opstarten van services, starten en stoppen van systemen, overdracht van gegevens naar externe media, gebruikers- of groepsbeheer, gebruik van speciale bevoegdheden

• [Preview]: Implementatie van Log Analytics-agent controleren - VM-installatiekopieën (besturingssysteem) niet weergegeven
• Implementatie van de Log Analytics-agent controleren in VMSS - VM-installatiekopie (besturingssysteem) onvermeld
• Log Analytics-werkruimte voor VM controleren - niet-overeenkomende items rapporteren
• Audit diagnostic setting (Diagnostische instelling voor controleren)

1537 De volgende gebeurtenissen worden vastgelegd voor databases: toegang tot bijzonder belangrijke gegevens, toevoeging van nieuwe gebruikers, specifiek voor bevoorrechte gebruikers, query's met opmerkingen, query's met meerdere ingesloten query's, waarschuwingen of fouten van query's of databases, pogingen tot het uitbreiden van bevoegdheden, toegang die lukt of mislukt, wijzigingen in de databasestructuur, acties van de databasebeheerder, aan- en afmeldingen bij de database, wijzigingen van gegevens, gebruik van uitvoerbare opdrachten

• Advanced Data Security moet zijn ingeschakeld op uw SQL-servers
• Audit diagnostic setting (Diagnostische instelling voor controleren)
• Advanced Data Security moet zijn ingeschakeld voor uw beheerde SQL-exemplaren

Richtlijnen voor systeembewaking: beheer van beveiligingsproblemen

0911 Voordat een systeem wordt geïmplementeerd, na een belangrijke wijziging in het systeem en ten minste jaarlijks of zoals aangegeven door de systeemeigenaar worden door voldoende bekwame medewerkers evaluaties van beveiligingsproblemen en penetratietesten uitgevoerd

• Beveiligingsproblemen in uw SQL-databases moeten worden opgelost
• De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers
• De evaluatie van beveiligingsproblemen moet worden ingeschakeld voor uw beheerde SQL-exemplaren
• Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op virtuele machines
• Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteld
• Beveiligingsproblemen moeten worden opgelost met een oplossing voor evaluatie van beveiligingsproblemen
• Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld
• Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpen

Richtlijnen voor beheer van databasesystemen: databaseservers

1425 Harde schijven van databaseservers worden versleuteld met volledige schijfversleuteling

• Schijfversleuteling moet worden toegepast op virtuele machines
• Transparent Data Encryption in SQL-databases moet zijn ingeschakeld

1277 Gegevens die worden gecommuniceerd tussen databaseservers en webtoepassingen worden versleuteld

• Alleen beveiligde verbindingen met uw Redis Cache moeten zijn ingeschakeld
• Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld
• Controleresultaten weergeven van Windows-webservers die geen veilige communicatieprotocollen gebruiken
• Vereisten implementeren om Windows-webservers te controleren waarvoor geen veilige communicatieprotocollen worden gebruikt

Richtlijnen voor beheer van databasesystemen: software voor databasebeheersystemen

1260 Standaardbeheerdersaccounts worden uitgeschakeld, hernoemd of de wachtwoordzinnen ervan worden gewijzigd

• Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers

1262 Databasebeheerders hebben unieke en identificeerbare accounts

• Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers

1261 Databasebeheerderaccounts worden niet gedeeld in verschillende databases

• Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers

1263 Databasebeheerderaccounts worden alleen gebruikt voor beheertaken en standaarddatabaseaccounts worden gebruikt voor interacties met de database voor algemene doeleinden

• Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers

1264 De toegang van een databasebeheerder wordt beperkt tot gedefinieerde rollen in plaats van accounts met standaardbeheermachtigingen of alle machtigingen

• Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers

Richtlijnen voor het gebruik van cryptografie: cryptografische basisbewerkingen

0459 Versleutelingssoftware die wordt gebruikt voor inactieve gegevens implementeert volledige schijfversleuteling of gedeeltelijke versleuteling waarbij toegangsbeheer alleen schrijfbewerkingen naar de versleutelde partitie toestaat

• Schijfversleuteling moet worden toegepast op virtuele machines

Richtlijnen voor het gebruik van cryptografie: beveiliging van de transportlaag

1139 Alleen de nieuwste versie van TLS wordt gebruikt

• De nieuwste TLS-versie moet worden gebruikt in uw API-app
• De nieuwste TLS-versie moet worden gebruikt in uw web-app
• De nieuwste TLS-versie moet worden gebruikt in uw functie-app
• Vereisten implementeren om Windows-webservers te controleren waarvoor geen veilige communicatieprotocollen worden gebruikt
• Controleresultaten weergeven van Windows-webservers die geen veilige communicatieprotocollen gebruiken

Richtlijnen voor gegevensoverdracht en het filteren van inhoud: het filteren van inhoud

1288 Op alle inhoud worden antivirusscans met verschillende scanners uitgevoerd

• Microsoft IaaSAntimalware-uitbreiding moet zijn geïmplementeerd op Windows-servers
• De Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets
• Ontbrekende eindpuntbeveiliging bewaken in Azure Security Center

Richtlijnen voor gegevensoverdracht en het filteren van inhoud: ontwikkeling van webtoepassingen

1552 Inhoud van webtoepassingen wordt alleen aangeboden met HTTPS

• Function-app mag alleen toegankelijk zijn via HTTPS
• API-app mag alleen toegankelijk zijn via HTTPS
• Webtoepassing mag alleen toegankelijk zijn via HTTPS
• Alleen beveiligde verbindingen met uw Redis Cache moeten zijn ingeschakeld

1424 Er worden beveiligingsbesturingselementen op basis van webbrowsers geïmplementeerd voor webtoepassingen om zowel de webtoepassingen als hun gebruikers te beveiligen

• Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw webtoepassingen

Richtlijnen voor netwerkbeheer: netwerkontwerp en -configuratie

0520 Er worden besturingselementen voor netwerktoegang geïmplementeerd op netwerken om verbinding door ongeautoriseerde netwerkapparaten te voorkomen

• Onbeperkte netwerktoegang tot opslagaccounts controleren

1182 Er wordt netwerwerktoegangsbeheer geïmplementeerd om verkeer tussen en binnen netwerksegmenten te beperken tot alleen die segmenten die vereist zijn voor zakelijke doeleinden

• Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen
• Onbeperkte netwerktoegang tot opslagaccounts controleren
• Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op op internet gerichte virtuele machines

Richtlijnen voor netwerkbeheer: continuïteit van services voor onlineservices

1431 Beleid voor het voorkomen en herstellen van Denial of service-aanvallen wordt met serviceproviders besproken, in het bijzonder: hun capaciteit om Denial of serviceaanvallen te voorkomen, eventuele kosten voor klanten als gevolg van Denial of service-aanvallen, drempelwaarden voor het informeren van klanten of het uitschakelen van hun onlineservices tijdens Denial of service-aanvallen, vooraf goedgekeurde acties die kunnen worden ondernomen tijdens Denial of service-aanvallen, afspraken over Denial of service-aanvallen met upstream-providers om schadelijk verkeer zo snel mogelijk te blokkeren

• DDoS-beveiliging moet zijn ingeschakeld

Notitie

De beschikbaarheid van specifieke Azure Policy-definities kan verschillen in Azure Government en andere nationale clouds.

Volgende stappen

Aanvullende artikelen over blauwdrukken en het gebruik hiervan:

ISM BEVEILIGING-blauwdruk - OverzichtISM BEVEILIGING-blauwdruk - Implementatiestappen

• Meer informatie over de levenscyclus van een blauwdruk.
• Meer informatie over hoe u statische en dynamische parameters gebruikt.
• Meer informatie over hoe u de blauwdrukvolgorde aanpast.
• Meer informatie over hoe u gebruikmaakt van resourcevergrendeling in blauwdrukken.
• Meer informatie over hoe u bestaande toewijzingen bijwerkt.