Details van het ingebouwde initiatief naleving van regelgeving in CIS Microsoft Azure Foundations Benchmark 1.1.0
In het volgende artikel wordt beschreven hoe de ingebouwde initiatiefdefinitie naleving van Azure Policy-regelgeving wordt toegewezen aan nalevingsdomeinen en controles in CIS Microsoft Azure Foundations Benchmark 1.1.0. Zie CIS Microsoft Azure Foundations Benchmark 1.1.0 voor meer informatie over deze nalevingsstandaard. Als u het eigendom wilt begrijpen, bekijkt u het beleidstype en de gedeelde verantwoordelijkheid in de cloud.
De volgende toewijzingen zijn gericht op de besturingselementen van CIS Microsoft Azure Foundations Benchmark 1.1.0 . Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities. Zoek en selecteer vervolgens de ingebouwde initiatiefdefinitie voor naleving van regelgeving in CIS Microsoft Azure Foundations Benchmark v1.1.0 .
Belangrijk
Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.
1 Identiteits- en toegangsbeheer
Controleren of meervoudige verificatie is ingeschakeld voor alle bevoegde gebruikers
Id: Aanbeveling 1.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Biometrische verificatiemechanismen aannemen | CMA_0005 - Biometrische verificatiemechanismen aannemen | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Gebruikers galerie-apps kunnen toevoegen aan hun Toegangsvenster' is ingesteld op Nee
Id: Aanbeveling 1.10 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Gebruikers kunnen toepassingen registreren' is ingesteld op Nee
Id: Aanbeveling 1.11 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Machtigingen voor gastgebruikers zijn beperkt' is ingesteld op Ja
Id: Aanbeveling 1.12 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Een model voor toegangsbeheer ontwerpen | CMA_0129 - Een model voor toegangsbeheer ontwerpen | Handmatig, uitgeschakeld | 1.1.0 |
| Minimale toegang tot bevoegdheden gebruiken | CMA_0212 - Toegang tot minimale bevoegdheden gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| Logische toegang afdwingen | CMA_0245 - Logische toegang afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Goedkeuring vereisen voor het maken van een account | CMA_0431 - Goedkeuring vereisen voor het maken van accounts | Handmatig, uitgeschakeld | 1.1.0 |
| Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Leden kunnen uitnodigen' is ingesteld op Nee
Id: Aanbeveling 1.13 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Een model voor toegangsbeheer ontwerpen | CMA_0129 - Een model voor toegangsbeheer ontwerpen | Handmatig, uitgeschakeld | 1.1.0 |
| Minimale toegang tot bevoegdheden gebruiken | CMA_0212 - Toegang tot minimale bevoegdheden gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| Logische toegang afdwingen | CMA_0245 - Logische toegang afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Goedkeuring vereisen voor het maken van een account | CMA_0431 - Goedkeuring vereisen voor het maken van accounts | Handmatig, uitgeschakeld | 1.1.0 |
| Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Gasten kunnen uitnodigen' is ingesteld op Nee
Id: Aanbeveling 1.14 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Een model voor toegangsbeheer ontwerpen | CMA_0129 - Een model voor toegangsbeheer ontwerpen | Handmatig, uitgeschakeld | 1.1.0 |
| Minimale toegang tot bevoegdheden gebruiken | CMA_0212 - Toegang tot minimale bevoegdheden gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| Logische toegang afdwingen | CMA_0245 - Logische toegang afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Goedkeuring vereisen voor het maken van een account | CMA_0431 - Goedkeuring vereisen voor het maken van accounts | Handmatig, uitgeschakeld | 1.1.0 |
| Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Toegang tot de Azure AD-beheerportal beperken' is ingesteld op Ja
Id: Aanbeveling 1.15 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Logische toegang afdwingen | CMA_0245 - Logische toegang afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Processen voor het instellen en wijzigen van documenten | CMA_0265 - Processen voor het instellen en wijzigen van documenten | Handmatig, uitgeschakeld | 1.1.0 |
| Goedkeuring vereisen voor het maken van een account | CMA_0431 - Goedkeuring vereisen voor het maken van accounts | Handmatig, uitgeschakeld | 1.1.0 |
| Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat selfservicegroepsbeheer is ingeschakeld op Nee
Id: Aanbeveling 1.16 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Processen voor het instellen en wijzigen van documenten | CMA_0265 - Processen voor het instellen en wijzigen van documenten | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Gebruikers kunnen beveiligingsgroepen maken' is ingesteld op Nee
Id: Aanbeveling 1.17 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Processen voor het instellen en wijzigen van documenten | CMA_0265 - Processen voor het instellen en wijzigen van documenten | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Gebruikers die beveiligingsgroepen kunnen beheren' is ingesteld op 'Geen'
Id: Aanbeveling 1.18 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Processen voor het instellen en wijzigen van documenten | CMA_0265 - Processen voor het instellen en wijzigen van documenten | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Gebruikers office 365-groepen kunnen maken' is ingesteld op Nee
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 1.19: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Processen voor het instellen en wijzigen van documenten | CMA_0265 - Processen voor het instellen en wijzigen van documenten | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of meervoudige verificatie is ingeschakeld voor alle onbevoegde gebruikers
Id: Aanbeveling 1.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Biometrische verificatiemechanismen aannemen | CMA_0005 - Biometrische verificatiemechanismen aannemen | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Gebruikers die Office 365-groepen kunnen beheren' is ingesteld op 'Geen'
Id: Aanbeveling 1.20 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Processen voor het instellen en wijzigen van documenten | CMA_0265 - Processen voor het instellen en wijzigen van documenten | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Multi-Factor Authentication vereisen om apparaten te koppelen' is ingesteld op Ja
Id: Aanbeveling 1.22 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Biometrische verificatiemechanismen aannemen | CMA_0005 - Biometrische verificatiemechanismen aannemen | Handmatig, uitgeschakeld | 1.1.0 |
| Externe toegang autoriseren | CMA_0024 - Externe toegang autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Training voor documentmobiliteit | CMA_0191 - Training voor documentmobiliteit | Handmatig, uitgeschakeld | 1.1.0 |
| Richtlijnen voor externe toegang document | CMA_0196 - Richtlijnen voor externe toegang document | Handmatig, uitgeschakeld | 1.1.0 |
| Netwerkapparaten identificeren en verifiëren | CMA_0296 - Netwerkapparaten identificeren en verifiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Besturingselementen implementeren om alternatieve werksites te beveiligen | CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Privacytraining bieden | CMA_0415 - Privacytraining bieden | Handmatig, uitgeschakeld | 1.1.0 |
| Voldoen aan de kwaliteitsvereisten voor tokens | CMA_0487 - Voldoen aan de kwaliteitsvereisten voor tokens | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of er geen aangepaste rollen voor abonnementseigenaren zijn gemaakt
Id: Aanbeveling 1.23 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Een model voor toegangsbeheer ontwerpen | CMA_0129 - Een model voor toegangsbeheer ontwerpen | Handmatig, uitgeschakeld | 1.1.0 |
| Minimale toegang tot bevoegdheden gebruiken | CMA_0212 - Toegang tot minimale bevoegdheden gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Processen voor het instellen en wijzigen van documenten | CMA_0265 - Processen voor het instellen en wijzigen van documenten | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat er geen gastgebruikers zijn
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 1.3: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Gebruikersbevoegdheden indien nodig opnieuw toewijzen of verwijderen | CMA_C1040 : gebruikersbevoegdheden indien nodig opnieuw toewijzen of verwijderen | Handmatig, uitgeschakeld | 1.1.0 |
| Accountinrichtingslogboeken controleren | CMA_0460 - Accountinrichtingslogboeken controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Gebruikersaccounts controleren | CMA_0480 - Gebruikersaccounts controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Gebruikersbevoegdheden controleren | CMA_C1039 - Gebruikersbevoegdheden controleren | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Toestaan dat gebruikers meervoudige verificatie onthouden op apparaten die ze vertrouwen' is uitgeschakeld
Id: Aanbeveling 1.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Biometrische verificatiemechanismen aannemen | CMA_0005 - Biometrische verificatiemechanismen aannemen | Handmatig, uitgeschakeld | 1.1.0 |
| Netwerkapparaten identificeren en verifiëren | CMA_0296 - Netwerkapparaten identificeren en verifiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Voldoen aan de kwaliteitsvereisten voor tokens | CMA_0487 - Voldoen aan de kwaliteitsvereisten voor tokens | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Aantal dagen voordat gebruikers wordt gevraagd om hun verificatiegegevens opnieuw te bevestigen' niet is ingesteld op '0'
Id: Aanbeveling 1.6 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Accountbeheer automatiseren | CMA_0026 - Accountbeheer automatiseren | Handmatig, uitgeschakeld | 1.1.0 |
| Systeem- en beheerdersaccounts beheren | CMA_0368 - Systeem- en beheerdersaccounts beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang in de hele organisatie bewaken | CMA_0376 - Toegang in de hele organisatie bewaken | Handmatig, uitgeschakeld | 1.1.0 |
| Waarschuwen wanneer account niet nodig is | CMA_0383 - Melden wanneer het account niet nodig is | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat gebruikers op de hoogte worden gesteld van het opnieuw instellen van wachtwoorden? is ingesteld op Ja
Id: Aanbeveling 1.7 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Accountbeheer automatiseren | CMA_0026 - Accountbeheer automatiseren | Handmatig, uitgeschakeld | 1.1.0 |
| Training implementeren voor het beveiligen van verificators | CMA_0329 - Training implementeren voor het beveiligen van verificators | Handmatig, uitgeschakeld | 1.1.0 |
| Systeem- en beheerdersaccounts beheren | CMA_0368 - Systeem- en beheerdersaccounts beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang in de hele organisatie bewaken | CMA_0376 - Toegang in de hele organisatie bewaken | Handmatig, uitgeschakeld | 1.1.0 |
| Waarschuwen wanneer account niet nodig is | CMA_0383 - Melden wanneer het account niet nodig is | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Alle beheerders waarschuwen wanneer andere beheerders hun wachtwoord opnieuw instellen?' is ingesteld op Ja
Id: Aanbeveling 1.8 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Accountbeheer automatiseren | CMA_0026 - Accountbeheer automatiseren | Handmatig, uitgeschakeld | 1.1.0 |
| Training implementeren voor het beveiligen van verificators | CMA_0329 - Training implementeren voor het beveiligen van verificators | Handmatig, uitgeschakeld | 1.1.0 |
| Systeem- en beheerdersaccounts beheren | CMA_0368 - Systeem- en beheerdersaccounts beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang in de hele organisatie bewaken | CMA_0376 - Toegang in de hele organisatie bewaken | Handmatig, uitgeschakeld | 1.1.0 |
| Bevoorrechte roltoewijzing bewaken | CMA_0378 - Bevoorrechte roltoewijzing bewaken | Handmatig, uitgeschakeld | 1.1.0 |
| Waarschuwen wanneer account niet nodig is | CMA_0383 - Melden wanneer het account niet nodig is | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang tot bevoegde accounts beperken | CMA_0446 - Toegang tot bevoegde accounts beperken | Handmatig, uitgeschakeld | 1.1.0 |
| Bevoorrechte rollen intrekken, indien van toepassing | CMA_0483 - Bevoegde rollen intrekken, indien van toepassing | Handmatig, uitgeschakeld | 1.1.0 |
| Privileged Identity Management gebruiken | CMA_0533 - Privileged Identity Management gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat 'Gebruikers toestemming kunnen geven voor apps die namens hen bedrijfsgegevens openen' is ingesteld op Nee
Id: Aanbeveling 1.9 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
2 Security Center
Controleren of de standaardprijscategorie is geselecteerd
Id: Aanbeveling 2.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | Handmatig, uitgeschakeld | 1.1.0 |
| Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd | CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd | Handmatig, uitgeschakeld | 1.1.0 |
| Gateways beheren | CMA_0363 - Gateways beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Rapport malwaredetecties wekelijks bekijken | CMA_0475 - Rapport malwaredetecties wekelijks bekijken | Handmatig, uitgeschakeld | 1.1.0 |
| De status van bedreigingsbeveiliging wekelijks bekijken | CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Antivirusdefinities bijwerken | CMA_0517 - Antivirusdefinities bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de standaardbeleidsinstelling voor "Beoordeling van beveiligingsproblemen" van de ASC niet is "uitgeschakeld"
Id: Aanbeveling 2.10 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Zorg ervoor dat de standaardbeleidsinstelling 'Opslagblobversleuteling bewaken' niet is uitgeschakeld
Id: Aanbeveling 2.11 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een beheerprocedure voor gegevenslekken instellen | CMA_0255 - Een beheerprocedure voor gegevenslekken instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Speciale informatie beveiligen | CMA_0409 - Speciale informatie beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat de standaardbeleidsinstelling voor "JIT-netwerktoegang bewaken" van de ASC niet is "uitgeschakeld"
Id: Aanbeveling 2.12 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd | CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd | Handmatig, uitgeschakeld | 1.1.0 |
| Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Controleren of de standaardbeleidsinstelling voor "Controleren voor SQL" van de ASC niet is "uitgeschakeld"
Id: Aanbeveling 2.14 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Controle op SQL Server moet zijn ingeschakeld | Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Controleerbare gebeurtenissen bepalen | CMA_0137 - Controleerbare gebeurtenissen bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Controlegegevens controleren | CMA_0466 - Controlegegevens controleren | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de standaardbeleidsinstelling voor "SQL-versleuteling bewaken" van de ASC niet is "uitgeschakeld"
Id: Aanbeveling 2.15 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een beheerprocedure voor gegevenslekken instellen | CMA_0255 - Een beheerprocedure voor gegevenslekken instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Speciale informatie beveiligen | CMA_0409 - Speciale informatie beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Transparent Data Encryption in SQL-databases moet zijn ingeschakeld | Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten | AuditIfNotExists, uitgeschakeld | 2.0.0 |
Controleer of het ‘E-mailadres van de contactpersoon voor beveiliging’ is ingesteld
Id: Aanbeveling 2.16 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Zorg dat 'E-mailmelding voor waarschuwingen met hoge urgentie verzenden' is ingesteld op 'ingeschakeld'
Id: Aanbeveling 2.18 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
Controleren of 'E-mail ook verzenden naar eigenaars van het abonnement' is ingesteld op 'ingeschakeld'
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 2.19: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
Zorg dat 'Automatische inrichting van bewakingsagent' is ingesteld op 'ingeschakeld'
Id: Aanbeveling 2.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Documentbeveiligingsbewerkingen | CMA_0202 - Documentbeveiligingsbewerkingen | Handmatig, uitgeschakeld | 1.1.0 |
| Sensoren inschakelen voor eindpuntbeveiligingsoplossing | CMA_0514 - Sensoren inschakelen voor eindpuntbeveiligingsoplossing | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de standaardbeleidsinstelling voor "Systeemupdates bewaken" van de ASC niet is "uitgeschakeld"
Id: Aanbeveling 2.3 van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de standaardbeleidsinstelling voor "Beveiligingsproblemen van besturingssystemen bewaken" van de ASC niet is "uitgeschakeld"
Id: Aanbeveling 2.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld | Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.1.0 |
Zorg ervoor dat de standaardbeleidsinstelling voor "Endpoint Protection" van de ASC niet is "uitgeschakeld"
Id: Aanbeveling 2.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | Handmatig, uitgeschakeld | 1.1.0 |
| Gateways beheren | CMA_0363 - Gateways beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Rapport malwaredetecties wekelijks bekijken | CMA_0475 - Rapport malwaredetecties wekelijks bekijken | Handmatig, uitgeschakeld | 1.1.0 |
| De status van bedreigingsbeveiliging wekelijks bekijken | CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Antivirusdefinities bijwerken | CMA_0517 - Antivirusdefinities bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de standaardbeleidsinstelling voor "Schijfversleuteling" van de ASC niet is "uitgeschakeld"
Id: Aanbeveling 2.6 van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een beheerprocedure voor gegevenslekken instellen | CMA_0255 - Een beheerprocedure voor gegevenslekken instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Speciale informatie beveiligen | CMA_0409 - Speciale informatie beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat de standaardbeleidsinstelling voor "Netwerkbeveiligingsgroepen bewaken" van de ASC niet is "uitgeschakeld"
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 2.7: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Informatiestroom beheren | CMA_0079 - Informatiestroom beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Mechanismen voor stroombeheer van versleutelde informatie gebruiken | CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat de standaardbeleidsinstelling 'Web Application Firewall bewaken' niet is uitgeschakeld
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 2.8: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Informatiestroom beheren | CMA_0079 - Informatiestroom beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Mechanismen voor stroombeheer van versleutelde informatie gebruiken | CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de standaardbeleidsinstelling voor "NGFW-bewaking inschakelen" van de ASC is niet is "uitgeschakeld"
Id: Aanbeveling 2.9 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Informatiestroom beheren | CMA_0079 - Informatiestroom beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Mechanismen voor stroombeheer van versleutelde informatie gebruiken | CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
3 Opslagaccounts
Controleren of 'beveiligde overdracht vereist' is ingesteld op 'ingeschakeld'
Id: Aanbeveling 3.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Werkstations configureren om te controleren op digitale certificaten | CMA_0073 - Werkstations configureren om te controleren op digitale certificaten | Handmatig, uitgeschakeld | 1.1.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Wachtwoorden beveiligen met versleuteling | CMA_0408 - Wachtwoorden beveiligen met versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld | Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Zorg ervoor dat toegangssleutels voor opslagaccounts periodiek opnieuw worden gegenereerd
Id: Aanbeveling 3.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een beheerproces voor fysieke sleutels definiëren | CMA_0115 - Een beheerproces voor fysieke sleutels definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Cryptografisch gebruik definiëren | CMA_0120 - Cryptografisch gebruik definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Organisatievereisten definiëren voor cryptografisch sleutelbeheer | CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Assertievereisten bepalen | CMA_0136 - Assertievereisten bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Certificaten voor openbare sleutels uitgeven | CMA_0347 - Openbare-sleutelcertificaten uitgeven | Handmatig, uitgeschakeld | 1.1.0 |
| Symmetrische cryptografische sleutels beheren | CMA_0367 - Symmetrische cryptografische sleutels beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang tot persoonlijke sleutels beperken | CMA_0445 - Toegang tot persoonlijke sleutels beperken | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat opslaglogboekregistratie is ingeschakeld voor queue-service voor lees-, schrijf- en verwijderaanvragen
Id: eigendom van CIS Microsoft Azure Foundations Benchmark 3.3: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Mogelijkheden voor Azure Audit configureren | CMA_C1108 - Mogelijkheden voor Azure Audit configureren | Handmatig, uitgeschakeld | 1.1.1 |
| Controleerbare gebeurtenissen bepalen | CMA_0137 - Controleerbare gebeurtenissen bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Controlegegevens controleren | CMA_0466 - Controlegegevens controleren | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat handtekeningentokens voor gedeelde toegang binnen een uur verlopen
Id: Aanbeveling 3.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Verificators uitschakelen na beëindiging | CMA_0169 - Verificators uitschakelen na beëindiging | Handmatig, uitgeschakeld | 1.1.0 |
| Bevoorrechte rollen intrekken, indien van toepassing | CMA_0483 - Bevoegde rollen intrekken, indien van toepassing | Handmatig, uitgeschakeld | 1.1.0 |
| Gebruikerssessie automatisch beëindigen | CMA_C1054 - Gebruikerssessie automatisch beëindigen | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat handtekeningtokens voor gedeelde toegang alleen via https zijn toegestaan
Id: Aanbeveling 3.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Werkstations configureren om te controleren op digitale certificaten | CMA_0073 - Werkstations configureren om te controleren op digitale certificaten | Handmatig, uitgeschakeld | 1.1.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Wachtwoorden beveiligen met versleuteling | CMA_0408 - Wachtwoorden beveiligen met versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat openbaar toegangsniveau is ingesteld op Privé voor blobcontainers
Id: Aanbeveling 3.6 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan | Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 3.1.0-preview |
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Logische toegang afdwingen | CMA_0245 - Logische toegang afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Goedkeuring vereisen voor het maken van een account | CMA_0431 - Goedkeuring vereisen voor het maken van accounts | Handmatig, uitgeschakeld | 1.1.0 |
| Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de standaardregel voor netwerktoegang voor opslagaccounts is ingesteld op weigeren
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 3.7: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
Controleren of vertrouwde Microsoft-services zijn ingeschakeld voor toegang tot het opslagaccount
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 3.8: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Informatiestroom beheren | CMA_0079 - Informatiestroom beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Mechanismen voor stroombeheer van versleutelde informatie gebruiken | CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| Configuratiestandaarden voor firewall en router instellen | CMA_0272 - Configuratiestandaarden voor firewall en router instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Netwerksegmentatie instellen voor kaarthoudergegevensomgeving | CMA_0273 - Netwerksegmentatie instellen voor de gegevensomgeving van de kaarthouder | Handmatig, uitgeschakeld | 1.1.0 |
| Downstreaminformatie-uitwisselingen identificeren en beheren | CMA_0298 : downstreaminformatieuitwisseling identificeren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Opslagaccounts moeten toegang uit vertrouwde Microsoft-services toestaan | Sommige Microsoft-services die communiceren met opslagaccounts, werken vanuit netwerken waaraan geen toegang kan worden verleend via netwerkregels. Om dit type service goed te laten werken, moet u de set vertrouwde Microsoft-services toestaan om de netwerkregels over te slaan. Deze services gebruiken vervolgens sterke verificatie om toegang te krijgen tot het opslagaccount. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
4 Database Services
Controleren of 'Controle' is ingesteld op 'Aan'
Id: Aanbeveling 4.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Controle op SQL Server moet zijn ingeschakeld | Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Controleerbare gebeurtenissen bepalen | CMA_0137 - Controleerbare gebeurtenissen bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Controlegegevens controleren | CMA_0466 - Controlegegevens controleren | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de TDE-beveiliging van SQL-server is versleuteld met BYOK (Uw eigen sleutel gebruiken)
Id: Aanbeveling 4.10 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een beheerprocedure voor gegevenslekken instellen | CMA_0255 - Een beheerprocedure voor gegevenslekken instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Speciale informatie beveiligen | CMA_0409 - Speciale informatie beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
Controleren of ‘SSL-verbinding afdwingen’ is ingesteld op "INGESCHAKELD" voor MySQL-databaseserver
Id: Aanbeveling 4.11 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Werkstations configureren om te controleren op digitale certificaten | CMA_0073 - Werkstations configureren om te controleren op digitale certificaten | Handmatig, uitgeschakeld | 1.1.0 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers | Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Wachtwoorden beveiligen met versleuteling | CMA_0408 - Wachtwoorden beveiligen met versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de serverparameter ‘log_checkpoints’ is ingesteld op AAN voor PostgreSQL-databaseserver
Id: Aanbeveling 4.12 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Controleerbare gebeurtenissen bepalen | CMA_0137 - Controleerbare gebeurtenissen bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Logboekcontrolepunten moeten zijn ingeschakeld voor PostgreSQL-databaseservers | Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_checkpoints hoeven te worden ingeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Controlegegevens controleren | CMA_0466 - Controlegegevens controleren | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of ‘SSL-verbinding afdwingen’ is ingesteld op ‘INGESCHAKELD’ voor PostgreSQL-databaseservers
Id: Aanbeveling 4.13 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Werkstations configureren om te controleren op digitale certificaten | CMA_0073 - Werkstations configureren om te controleren op digitale certificaten | Handmatig, uitgeschakeld | 1.1.0 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers | Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Wachtwoorden beveiligen met versleuteling | CMA_0408 - Wachtwoorden beveiligen met versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de serverparameter ‘log_connections’ is ingesteld op ‘AAN’ voor PostgreSQL-databaseserver
Id: Aanbeveling 4.14 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Controleerbare gebeurtenissen bepalen | CMA_0137 - Controleerbare gebeurtenissen bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Logboekverbindingen moeten zijn ingeschakeld voor PostgreSQL-databaseservers | Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_connections hoeven te worden ingeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Controlegegevens controleren | CMA_0466 - Controlegegevens controleren | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of dat de serverparameter ‘log_disconnections’ is ingesteld op ‘AAN’ voor PostgreSQL-databaseserver
Id: Aanbeveling 4.15 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Controleerbare gebeurtenissen bepalen | CMA_0137 - Controleerbare gebeurtenissen bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Verbroken verbindingen moeten in een logboek worden vastgelegd voor PostgreSQL-databaseservers. | Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_disconnections hoeven te worden ingeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Controlegegevens controleren | CMA_0466 - Controlegegevens controleren | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de serverparameter ‘log_duration’ is ingesteld op ‘AAN" voor PostgreSQL-databaseserver
Id: Aanbeveling 4.16 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Controleerbare gebeurtenissen bepalen | CMA_0137 - Controleerbare gebeurtenissen bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Controlegegevens controleren | CMA_0466 - Controlegegevens controleren | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de serverparameter ‘connection_throttling’ is ingesteld op ‘AAN" voor PostgreSQL-databaseserver
Id: Aanbeveling 4.17 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Verbinding beperken moet worden ingeschakeld voor PostgreSQL-databaseservers | Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er verbindingsbeperking hoeft te worden ingeschakeld. Met deze instelling schakelt u tijdelijke beperking van de verbinding per IP in voor te veel ongeldige wachtwoordaanmeldingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Controleerbare gebeurtenissen bepalen | CMA_0137 - Controleerbare gebeurtenissen bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Controlegegevens controleren | CMA_0466 - Controlegegevens controleren | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat de serverparameter 'log_retention_days' langer is dan 3 dagen voor PostgreSQL-databaseserver
Id: Aanbeveling 4.18 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voldoen aan de retentieperioden die zijn gedefinieerd | CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden | Handmatig, uitgeschakeld | 1.1.0 |
| Controleverwerkingsactiviteiten beheren en bewaken | CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsbeleid en -procedures behouden | CMA_0454 - Beveiligingsbeleid en -procedures behouden | Handmatig, uitgeschakeld | 1.1.0 |
| Beëindigde gebruikersgegevens behouden | CMA_0455 - Beëindigde gebruikersgegevens behouden | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of Azure Active Directory-beheerder is geconfigureerd
Id: Aanbeveling 4.19 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Accountbeheer automatiseren | CMA_0026 - Accountbeheer automatiseren | Handmatig, uitgeschakeld | 1.1.0 |
| Systeem- en beheerdersaccounts beheren | CMA_0368 - Systeem- en beheerdersaccounts beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang in de hele organisatie bewaken | CMA_0376 - Toegang in de hele organisatie bewaken | Handmatig, uitgeschakeld | 1.1.0 |
| Waarschuwen wanneer account niet nodig is | CMA_0383 - Melden wanneer het account niet nodig is | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of het beleid 'AuditActionGroups ' in 'Controle' voor een SQL-server correct is ingesteld
Id: Aanbeveling 4.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Controleerbare gebeurtenissen bepalen | CMA_0137 - Controleerbare gebeurtenissen bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Controlegegevens controleren | CMA_0466 - Controlegegevens controleren | Handmatig, uitgeschakeld | 1.1.0 |
| In de instellingen van SQL-controle moeten actiegroepen zijn geconfigureerd om kritieke activiteiten te kunnen vastleggen | De eigenschap AuditActionsAndGroups moet ten minste SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP bevatten om een grondige logboekregistratie van de controle te garanderen | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Controleren of de bewaarperiode van de 'Controle' 'groter is dan 90 dagen'
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.3: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voldoen aan de retentieperioden die zijn gedefinieerd | CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden | Handmatig, uitgeschakeld | 1.1.0 |
| Controleverwerkingsactiviteiten beheren en bewaken | CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsbeleid en -procedures behouden | CMA_0454 - Beveiligingsbeleid en -procedures behouden | Handmatig, uitgeschakeld | 1.1.0 |
| Beëindigde gebruikersgegevens behouden | CMA_0455 - Beëindigde gebruikersgegevens behouden | Handmatig, uitgeschakeld | 1.1.0 |
| SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger | Voor onderzoeksdoeleinden voor incidenten raden we u aan om de gegevensretentie voor de controle van uw SQL Server in te stellen op de bestemming van het opslagaccount tot ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Controleren of 'Advanced Data Security' op een SQL-server is ingesteld op 'Aan'
Id: Aanbeveling 4.4 van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of 'Detectie van dreigingentypen' is ingesteld op 'Alle'
Id: aanbeveling 4.5 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of 'Waarschuwingen verzenden naar' is ingesteld
Id: Aanbeveling 4.6 van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Waarschuwingspersoneel bij overloop van informatie | CMA_0007 - Waarschuwingspersoneel bij overloop van informatie | Handmatig, uitgeschakeld | 1.1.0 |
| Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of 'E-mailservice en medebeheerders' is 'Ingeschakeld'
Id: Aanbeveling 4.7 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Waarschuwingspersoneel bij overloop van informatie | CMA_0007 - Waarschuwingspersoneel bij overloop van informatie | Handmatig, uitgeschakeld | 1.1.0 |
| Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of Azure Active Directory-beheerder is geconfigureerd
Id: Aanbeveling 4.8 van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accountbeheer automatiseren | CMA_0026 - Accountbeheer automatiseren | Handmatig, uitgeschakeld | 1.1.0 |
| Systeem- en beheerdersaccounts beheren | CMA_0368 - Systeem- en beheerdersaccounts beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang in de hele organisatie bewaken | CMA_0376 - Toegang in de hele organisatie bewaken | Handmatig, uitgeschakeld | 1.1.0 |
| Waarschuwen wanneer account niet nodig is | CMA_0383 - Melden wanneer het account niet nodig is | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of 'gegevensversleuteling' is ingesteld op 'ingeschakeld' op een SQL Database
Id: Aanbeveling 4.9 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een beheerprocedure voor gegevenslekken instellen | CMA_0255 - Een beheerprocedure voor gegevenslekken instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Speciale informatie beveiligen | CMA_0409 - Speciale informatie beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Transparent Data Encryption in SQL-databases moet zijn ingeschakeld | Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten | AuditIfNotExists, uitgeschakeld | 2.0.0 |
5 Logboekregistratie en bewaking
Controleren of er een logboekprofiel bestaat
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.1.1: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voldoen aan de retentieperioden die zijn gedefinieerd | CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden | Handmatig, uitgeschakeld | 1.1.0 |
| Azure-abonnementen moeten een logboekprofiel voor het activiteitenlogboek hebben | Dit beleid zorgt ervoor dat een logboekprofiel is ingeschakeld voor het exporteren van activiteitenlogboeken. Het controleert of er een logboekprofiel is gemaakt om de logboeken te exporteren naar een opslagaccount of een Event Hub. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Controleverwerkingsactiviteiten beheren en bewaken | CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsbeleid en -procedures behouden | CMA_0454 - Beveiligingsbeleid en -procedures behouden | Handmatig, uitgeschakeld | 1.1.0 |
| Beëindigde gebruikersgegevens behouden | CMA_0455 - Beëindigde gebruikersgegevens behouden | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de bewaarperiode van het activiteitenlogboek op 365 dagen of groter is ingesteld
Id: Aanbeveling 5.1.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Het activiteitenlogboek moet ten minste één jaar worden bewaard | Met dit beleid wordt het activiteitenlogboek gecontroleerd als de bewaarperiode niet is ingesteld op 365 dagen of permanent (bewaarperiode ingesteld op 0). | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voldoen aan de retentieperioden die zijn gedefinieerd | CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsbeleid en -procedures behouden | CMA_0454 - Beveiligingsbeleid en -procedures behouden | Handmatig, uitgeschakeld | 1.1.0 |
| Beëindigde gebruikersgegevens behouden | CMA_0455 - Beëindigde gebruikersgegevens behouden | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of het controleprofiel alle activiteiten vastlegt
Id: Aanbeveling 5.1.3 van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voldoen aan de retentieperioden die zijn gedefinieerd | CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden | Handmatig, uitgeschakeld | 1.1.0 |
| Met het Azure Monitor-logboekprofiel moeten logboeken worden verzameld voor de categorieën ‘schrijven’, ‘verwijderen’ en ‘actie’ | Met dit beleid wordt ervoor gezorgd dat in een logboekprofiel logboeken worden verzameld voor de categorieën 'schrijven', 'verwijderen' en 'actie' | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Controleverwerkingsactiviteiten beheren en bewaken | CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsbeleid en -procedures behouden | CMA_0454 - Beveiligingsbeleid en -procedures behouden | Handmatig, uitgeschakeld | 1.1.0 |
| Beëindigde gebruikersgegevens behouden | CMA_0455 - Beëindigde gebruikersgegevens behouden | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat het logboekprofiel activiteitenlogboeken vastlegt voor alle regio's, waaronder globaal
Id: Aanbeveling 5.1.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voldoen aan de retentieperioden die zijn gedefinieerd | CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden | Handmatig, uitgeschakeld | 1.1.0 |
| Azure Monitor moet activiteitenlogboeken uit alle regio's verzamelen | Met dit beleid wordt het Azure Monitor-logboekprofiel gecontroleerd waarbij geen activiteiten worden geëxporteerd uit alle door Azure ondersteunde regio's, inclusief wereldwijd. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Controleverwerkingsactiviteiten beheren en bewaken | CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsbeleid en -procedures behouden | CMA_0454 - Beveiligingsbeleid en -procedures behouden | Handmatig, uitgeschakeld | 1.1.0 |
| Beëindigde gebruikersgegevens behouden | CMA_0455 - Beëindigde gebruikersgegevens behouden | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat de opslagcontainer die de activiteitenlogboeken opslaat, niet openbaar toegankelijk is
Id: Aanbeveling 5.1.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan | Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 3.1.0-preview |
| Dubbele of gezamenlijke autorisatie inschakelen | CMA_0226 - Dubbele of gezamenlijke autorisatie inschakelen | Handmatig, uitgeschakeld | 1.1.0 |
| Controlegegevens beveiligen | CMA_0401 - Controlegegevens beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of het opslagaccount met de container met activiteitenlogboeken is versleuteld met BYOK (Uw eigen sleutel gebruiken)
Id: Aanbeveling 5.1.6 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Dubbele of gezamenlijke autorisatie inschakelen | CMA_0226 - Dubbele of gezamenlijke autorisatie inschakelen | Handmatig, uitgeschakeld | 1.1.0 |
| Integriteit van controlesysteem behouden | CMA_C1133 - Integriteit van controlesysteem behouden | Handmatig, uitgeschakeld | 1.1.0 |
| Controlegegevens beveiligen | CMA_0401 - Controlegegevens beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Het opslagaccount met de container met activiteitenlogboeken moet worden versleuteld met BYOK | Dit beleid controleert of het opslagaccount met de container met activiteitenlogboeken is versleuteld met BYOK. Het beleid werkt alleen als het opslagaccount is gebaseerd op hetzelfde abonnement als voor activiteitenlogboeken. Meer informatie over Azure Storage-versleuteling in rust vindt u hier https://aka.ms/azurestoragebyok. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Controleren of logboekregistratie van Azure-sleutelkluis is 'ingeschakeld'
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.1.7: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Controleerbare gebeurtenissen bepalen | CMA_0137 - Controleerbare gebeurtenissen bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Resourcelogboeken in beheerde HSM van Azure Key Vault moeten zijn ingeschakeld | Als u activiteitentrails voor onderzoeksdoeleinden opnieuw wilt maken wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast, wilt u mogelijk controleren door resourcelogboeken in te schakelen op beheerde HSM's. Volg de instructies hier: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Resourcelogboeken in Key Vault moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Controlegegevens controleren | CMA_0466 - Controlegegevens controleren | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of er een waarschuwing voor een activiteitenlogboek bestaat voor het maken van beleidstoewijzing
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.1: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Waarschuwingspersoneel bij overloop van informatie | CMA_0007 - Waarschuwingspersoneel bij overloop van informatie | Handmatig, uitgeschakeld | 1.1.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingen | Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het maken of bijwerken van een netwerkbeveiligingsgroep
Id: Aanbeveling 5.2.2.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Waarschuwingspersoneel bij overloop van informatie | CMA_0007 - Waarschuwingspersoneel bij overloop van informatie | Handmatig, uitgeschakeld | 1.1.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen | Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het verwijderen van een netwerkbeveiligingsgroep
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.3: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Waarschuwingspersoneel bij overloop van informatie | CMA_0007 - Waarschuwingspersoneel bij overloop van informatie | Handmatig, uitgeschakeld | 1.1.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen | Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het maken of bijwerken van een regel voor netwerkbeveiligingsgroep
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.4: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Waarschuwingspersoneel bij overloop van informatie | CMA_0007 - Waarschuwingspersoneel bij overloop van informatie | Handmatig, uitgeschakeld | 1.1.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen | Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het verwijderen van de regel voor de netwerkbeveiligingsgroep
Id: Aanbeveling 5.2.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Waarschuwingspersoneel bij overloop van informatie | CMA_0007 - Waarschuwingspersoneel bij overloop van informatie | Handmatig, uitgeschakeld | 1.1.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen | Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het maken of bijwerken van een beveiligingsoplossing
Id: Aanbeveling 5.2.6 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Waarschuwingspersoneel bij overloop van informatie | CMA_0007 - Waarschuwingspersoneel bij overloop van informatie | Handmatig, uitgeschakeld | 1.1.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingen | Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het verwijderen van de beveiligingsoplossing
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.7: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Waarschuwingspersoneel bij overloop van informatie | CMA_0007 - Waarschuwingspersoneel bij overloop van informatie | Handmatig, uitgeschakeld | 1.1.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingen | Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het maken of bijwerken van Firewallregels voor SQL-server
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.8: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Waarschuwingspersoneel bij overloop van informatie | CMA_0007 - Waarschuwingspersoneel bij overloop van informatie | Handmatig, uitgeschakeld | 1.1.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen | Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het bijwerken van het beveiligingsbeleid
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.9: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Waarschuwingspersoneel bij overloop van informatie | CMA_0007 - Waarschuwingspersoneel bij overloop van informatie | Handmatig, uitgeschakeld | 1.1.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingen | Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | Handmatig, uitgeschakeld | 1.1.0 |
6 Netwerken
Zorg ervoor dat geen TOEGANGsbeheerobject 0.0.0.0/0 (ANY IP) is toegestaan in SQL Databases
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 6.3: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Informatiestroom beheren | CMA_0079 - Informatiestroom beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Mechanismen voor stroombeheer van versleutelde informatie gebruiken | CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat de bewaarperiode voor stroomlogboeken voor netwerkbeveiligingsgroepen 'langer dan 90 dagen' is
Id: Aanbeveling 6.4 van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voldoen aan de retentieperioden die zijn gedefinieerd | CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsbeleid en -procedures behouden | CMA_0454 - Beveiligingsbeleid en -procedures behouden | Handmatig, uitgeschakeld | 1.1.0 |
| Beëindigde gebruikersgegevens behouden | CMA_0455 - Beëindigde gebruikersgegevens behouden | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of Network Watcher is 'ingeschakeld'
Id: AANBEVELING 6.5 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beveiligingsfuncties controleren | CMA_C1708 - Beveiligingsfuncties controleren | Handmatig, uitgeschakeld | 1.1.0 |
7 Virtuele machines
Controleren of de ‘besturingssysteemschijf’ is versleuteld
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 7.1: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een beheerprocedure voor gegevenslekken instellen | CMA_0255 - Een beheerprocedure voor gegevenslekken instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Speciale informatie beveiligen | CMA_0409 - Speciale informatie beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Controleer of 'gegevensschijven' zijn versleuteld
Id: Aanbeveling 7.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een beheerprocedure voor gegevenslekken instellen | CMA_0255 - Een beheerprocedure voor gegevenslekken instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Speciale informatie beveiligen | CMA_0409 - Speciale informatie beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Controleer of 'niet-gekoppelde schijven' zijn versleuteld
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 7.3: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een beheerprocedure voor gegevenslekken instellen | CMA_0255 - Een beheerprocedure voor gegevenslekken instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Speciale informatie beveiligen | CMA_0409 - Speciale informatie beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of alleen goedgekeurde extensies zijn geïnstalleerd
Id: Aanbeveling 7.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Alleen goedgekeurde VM-extensies mogen worden geïnstalleerd | Dit beleid is van toepassing op extensies van virtuele machines die niet zijn goedgekeurd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Controleren of de meest recente besturingssysteempatches voor alle virtuele machines zijn toegepast
Id: Aanbeveling 7.5 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Controleer of Endpoint Protection voor alle virtuele machines is geïnstalleerd
Id: Aanbeveling 7.6 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | Handmatig, uitgeschakeld | 1.1.0 |
| Documentbeveiligingsbewerkingen | CMA_0202 - Documentbeveiligingsbewerkingen | Handmatig, uitgeschakeld | 1.1.0 |
| Gateways beheren | CMA_0363 - Gateways beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Rapport malwaredetecties wekelijks bekijken | CMA_0475 - Rapport malwaredetecties wekelijks bekijken | Handmatig, uitgeschakeld | 1.1.0 |
| De status van bedreigingsbeveiliging wekelijks bekijken | CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Sensoren inschakelen voor eindpuntbeveiligingsoplossing | CMA_0514 - Sensoren inschakelen voor eindpuntbeveiligingsoplossing | Handmatig, uitgeschakeld | 1.1.0 |
| Antivirusdefinities bijwerken | CMA_0517 - Antivirusdefinities bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
| Integriteit van software, firmware en informatie controleren | CMA_0542 - Integriteit van software, firmware en informatie controleren | Handmatig, uitgeschakeld | 1.1.0 |
8 Andere beveiligingsoverwegingen
Zorg ervoor dat de vervaldatum is ingesteld op alle sleutels
Id: Aanbeveling 8.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een beheerproces voor fysieke sleutels definiëren | CMA_0115 - Een beheerproces voor fysieke sleutels definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Cryptografisch gebruik definiëren | CMA_0120 - Cryptografisch gebruik definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Organisatievereisten definiëren voor cryptografisch sleutelbeheer | CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Assertievereisten bepalen | CMA_0136 - Assertievereisten bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Certificaten voor openbare sleutels uitgeven | CMA_0347 - Openbare-sleutelcertificaten uitgeven | Handmatig, uitgeschakeld | 1.1.0 |
| Key Vault-sleutels moeten een vervaldatum hebben | Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Symmetrische cryptografische sleutels beheren | CMA_0367 - Symmetrische cryptografische sleutels beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang tot persoonlijke sleutels beperken | CMA_0445 - Toegang tot persoonlijke sleutels beperken | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat de vervaldatum is ingesteld voor alle geheimen
Id: Aanbeveling 8.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een beheerproces voor fysieke sleutels definiëren | CMA_0115 - Een beheerproces voor fysieke sleutels definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Cryptografisch gebruik definiëren | CMA_0120 - Cryptografisch gebruik definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Organisatievereisten definiëren voor cryptografisch sleutelbeheer | CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Assertievereisten bepalen | CMA_0136 - Assertievereisten bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Certificaten voor openbare sleutels uitgeven | CMA_0347 - Openbare-sleutelcertificaten uitgeven | Handmatig, uitgeschakeld | 1.1.0 |
| Key Vault-geheimen moeten een vervaldatum hebben | Geheimen moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het wordt aanbevolen om vervaldatums voor geheimen in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Symmetrische cryptografische sleutels beheren | CMA_0367 - Symmetrische cryptografische sleutels beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang tot persoonlijke sleutels beperken | CMA_0445 - Toegang tot persoonlijke sleutels beperken | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat resourcevergrendelingen zijn ingesteld voor bedrijfskritieke Azure-resources
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 8.3: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Processen voor het instellen en wijzigen van documenten | CMA_0265 - Processen voor het instellen en wijzigen van documenten | Handmatig, uitgeschakeld | 1.1.0 |
Zorg ervoor dat de sleutelkluis kan worden hersteld
Id: Aanbeveling 8.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Beheerde HSM van Azure Key Vault moet beveiliging tegen opschonen zijn ingeschakeld | Het verwijderen van een door Azure Key Vault beheerde HSM kan leiden tot permanent gegevensverlies. Een kwaadwillende insider in uw organisatie kan azure Key Vault Managed HSM mogelijk verwijderen en opschonen. Beveiliging tegen opschonen beschermt u tegen insider-aanvallen door een verplichte bewaarperiode af te dwingen voor voorlopig verwijderde beheerde HSM van Azure Key Vault. Niemand binnen uw organisatie of Microsoft kan uw beheerde HSM van Azure Key Vault leegmaken tijdens de bewaarperiode voor voorlopig verwijderen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor sleutelkluizen moet verwijderingsbeveiliging zijn ingeschakeld | Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies. U kunt permanent gegevensverlies voorkomen door beveiliging tegen opschonen en voorlopig verwijderen in te schakelen. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. Houd er rekening mee dat sleutelkluizen die na 1 september 2019 zijn gemaakt, standaard voorlopig verwijderen zijn ingeschakeld. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Beschikbaarheid van informatie behouden | CMA_C1644 - Beschikbaarheid van informatie behouden | Handmatig, uitgeschakeld | 1.1.0 |
Op rollen gebaseerd toegangsbeheer (RBAC) inschakelen in Azure Kubernetes Services
Id: Aanbeveling 8.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Logische toegang afdwingen | CMA_0245 - Logische toegang afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Goedkeuring vereisen voor het maken van een account | CMA_0431 - Goedkeuring vereisen voor het maken van accounts | Handmatig, uitgeschakeld | 1.1.0 |
| Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | Handmatig, uitgeschakeld | 1.1.0 |
| Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services | Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om de machtigingen in Kubernetes Service-clusters te beheren en het relevante autorisatiebeleid te configureren om gedetailleerde filters te bieden voor de acties die gebruikers kunnen uitvoeren. | Controle, uitgeschakeld | 1.0.4 |
9 AppService
Controleren of App Service-verificatie is ingesteld op Azure App Service
Id: Aanbeveling 9.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Service-apps moeten verificatie hebben ingeschakeld | Azure-app serviceverificatie is een functie die kan voorkomen dat anonieme HTTP-aanvragen de web-app bereiken of die tokens hebben voordat ze de web-app bereiken. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Verifiëren bij cryptografische module | CMA_0021 - Verifiëren bij cryptografische module | Handmatig, uitgeschakeld | 1.1.0 |
| Uniekheid van gebruikers afdwingen | CMA_0250 - Uniekheid van gebruikers afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Voor functie-apps moet verificatie zijn ingeschakeld | Azure-app serviceverificatie is een functie die kan voorkomen dat anonieme HTTP-aanvragen de functie-app bereiken of die tokens hebben voordat ze de Functie-app bereiken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten | CMA_0507 - Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de HTTP-versie de meest recente is als deze wordt gebruikt om de web-app te openen
Id: Aanbeveling 9.10 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Service-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| Functie-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de web-apps alle HTTP-verkeer omleidt naar HTTPS in Azure App Service
Id: Aanbeveling 9.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Service-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 4.0.0 |
| Werkstations configureren om te controleren op digitale certificaten | CMA_0073 - Werkstations configureren om te controleren op digitale certificaten | Handmatig, uitgeschakeld | 1.1.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Wachtwoorden beveiligen met versleuteling | CMA_0408 - Wachtwoorden beveiligen met versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of voor de web-app de nieuwste versie van TLS-versleuteling wordt gebruikt
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 9.3: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Service-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Werkstations configureren om te controleren op digitale certificaten | CMA_0073 - Werkstations configureren om te controleren op digitale certificaten | Handmatig, uitgeschakeld | 1.1.0 |
| Functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Wachtwoorden beveiligen met versleuteling | CMA_0408 - Wachtwoorden beveiligen met versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de web-app 'Clientcertificaten' (inkomende clientcertificaten) heeft ingesteld op 'Aan'
Id: Aanbeveling 9.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Afgeschaft]: Voor functie-apps moet 'Clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam, omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten. | Controle, uitgeschakeld | 3.1.0 afgeschaft |
| App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Verifiëren bij cryptografische module | CMA_0021 - Verifiëren bij cryptografische module | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of registratie in Azure Active Directory is ingeschakeld voor de App Service
Id: AANBEVELING 9.5 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Service-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Accountbeheer automatiseren | CMA_0026 - Accountbeheer automatiseren | Handmatig, uitgeschakeld | 1.1.0 |
| Functie-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Systeem- en beheerdersaccounts beheren | CMA_0368 - Systeem- en beheerdersaccounts beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang in de hele organisatie bewaken | CMA_0376 - Toegang in de hele organisatie bewaken | Handmatig, uitgeschakeld | 1.1.0 |
| Waarschuwen wanneer account niet nodig is | CMA_0383 - Melden wanneer het account niet nodig is | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de versie van .Net Framework de meest recente is als deze wordt gebruikt als onderdeel van de web-app
Id: Aanbeveling 9.6 van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de ‘PHP-versie’ de meest recente is, als deze wordt gebruikt om de web-app te openen
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 9.7: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de ‘Python-versie’ de meest recente is, als deze wordt gebruikt om de web-app te openen
Id: Aanbeveling 9.8 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Controleren of de ‘Java-versie’ de meest recente is, als deze wordt gebruikt om de web-app te openen
Id: Eigendom van CIS Microsoft Azure Foundations Benchmark aanbeveling 9.9: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
Volgende stappen
Aanvullende artikelen over Azure Policy:
- Overzicht voor naleving van regelgeving.
- Bekijk de structuur van initiatiefdefinities.
- Bekijk andere voorbeelden op Voorbeelden van Azure Policy.
- Lees Informatie over de effecten van het beleid.
- Ontdek hoe u niet-compatibele resources kunt herstellen.