Delen via


Details van het ingebouwde initiatief FedRAMP High Regulatory Compliance

In het volgende artikel wordt beschreven hoe de ingebouwde initiatiefdefinitie naleving van Azure Policy-regelgeving wordt toegewezen aan nalevingsdomeinen en controles in FedRAMP High. Zie FedRAMP High voor meer informatie over deze nalevingsstandaard. Als u het eigendom wilt begrijpen, bekijkt u het beleidstype en de gedeelde verantwoordelijkheid in de cloud.

De volgende toewijzingen gelden voor de FedRAMP High-beheeropties. Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities. Zoek en selecteer vervolgens de ingebouwde initiatiefdefinitie FedRAMP High Regulatory Compliance.

Belangrijk

Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.

Toegangsbeheer

Beleid en procedures voor toegangsbeheer

Id: FedRAMP High AC-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beleid en procedures voor toegangsbeheer ontwikkelen CMA_0144 - Beleid en procedures voor toegangsbeheer ontwikkelen Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0
Beleidsregels en procedures beheren CMA_0292 - Beleid en procedures beheren Handmatig, uitgeschakeld 1.1.0
Beleid en procedures voor toegangsbeheer controleren CMA_0457 - Beleid en procedures voor toegangsbeheer controleren Handmatig, uitgeschakeld 1.1.0

Accountbeheer

Id: FedRAMP High AC-2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. AuditIfNotExists, uitgeschakeld 3.0.0
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0
App Service-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Accountbeheerders toewijzen CMA_0015 - Accountmanagers toewijzen Handmatig, uitgeschakeld 1.1.0
Gebruik van aangepaste RBAC-rollen controleren Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering Controle, uitgeschakeld 1.0.1
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth Controleren, Weigeren, Uitgeschakeld 1.1.0
Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. AuditIfNotExists, uitgeschakeld 1.0.0
Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. AuditIfNotExists, uitgeschakeld 1.0.0
Voorwaarden voor gedeelde en groepsaccounts definiëren en afdwingen CMA_0117 - Voorwaarden voor gedeelde en groepsaccounts definiëren en afdwingen Handmatig, uitgeschakeld 1.1.0
Typen informatiesysteemaccounts definiëren CMA_0121 - Accounttypen voor informatiesysteem definiëren Handmatig, uitgeschakeld 1.1.0
Toegangsbevoegdheden voor documenten CMA_0186 - Toegangsrechten voor documenten Handmatig, uitgeschakeld 1.1.0
Voorwaarden instellen voor rollidmaatschap CMA_0269 - Voorwaarden voor rollidmaatschap instellen Handmatig, uitgeschakeld 1.1.0
Functie-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0
Accountactiviteit bewaken CMA_0377 - Accountactiviteit bewaken Handmatig, uitgeschakeld 1.1.0
Accountmanagers op de hoogte stellen van door de klant beheerde accounts CMA_C1009 - Accountmanagers informeren over door de klant beheerde accounts Handmatig, uitgeschakeld 1.1.0
Verificators opnieuw toewijzen voor gewijzigde groepen en accounts CMA_0426 - Verificators opnieuw aanvragen voor gewijzigde groepen en accounts Handmatig, uitgeschakeld 1.1.0
Goedkeuring vereisen voor het maken van een account CMA_0431 - Goedkeuring vereisen voor het maken van accounts Handmatig, uitgeschakeld 1.1.0
Toegang tot bevoegde accounts beperken CMA_0446 - Toegang tot bevoegde accounts beperken Handmatig, uitgeschakeld 1.1.0
Accountinrichtingslogboeken controleren CMA_0460 - Accountinrichtingslogboeken controleren Handmatig, uitgeschakeld 1.1.0
Gebruikersaccounts controleren CMA_0480 - Gebruikersaccounts controleren Handmatig, uitgeschakeld 1.1.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren Controleren, Weigeren, Uitgeschakeld 1.1.0

Geautomatiseerd systeemaccountbeheer

Id: FedRAMP High AC-2 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0
Accountbeheer automatiseren CMA_0026 - Accountbeheer automatiseren Handmatig, uitgeschakeld 1.1.0
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth Controleren, Weigeren, Uitgeschakeld 1.1.0
Systeem- en beheerdersaccounts beheren CMA_0368 - Systeem- en beheerdersaccounts beheren Handmatig, uitgeschakeld 1.1.0
Toegang in de hele organisatie bewaken CMA_0376 - Toegang in de hele organisatie bewaken Handmatig, uitgeschakeld 1.1.0
Waarschuwen wanneer account niet nodig is CMA_0383 - Melden wanneer het account niet nodig is Handmatig, uitgeschakeld 1.1.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren Controleren, Weigeren, Uitgeschakeld 1.1.0

Inactieve accounts uitschakelen

Id: FedRAMP High AC-2 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Verificators uitschakelen na beëindiging CMA_0169 - Verificators uitschakelen na beëindiging Handmatig, uitgeschakeld 1.1.0
Bevoorrechte rollen intrekken, indien van toepassing CMA_0483 - Bevoegde rollen intrekken, indien van toepassing Handmatig, uitgeschakeld 1.1.0

Geautomatiseerde controleacties

Id: FedRAMP High AC-2 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Accountbeheer automatiseren CMA_0026 - Accountbeheer automatiseren Handmatig, uitgeschakeld 1.1.0
Systeem- en beheerdersaccounts beheren CMA_0368 - Systeem- en beheerdersaccounts beheren Handmatig, uitgeschakeld 1.1.0
Toegang in de hele organisatie bewaken CMA_0376 - Toegang in de hele organisatie bewaken Handmatig, uitgeschakeld 1.1.0
Waarschuwen wanneer account niet nodig is CMA_0383 - Melden wanneer het account niet nodig is Handmatig, uitgeschakeld 1.1.0

Afmelding bij inactiviteit

Id: FedRAMP High AC-2 (5) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Logboekbeleid voor inactiviteit definiëren en afdwingen CMA_C1017 - Beleid voor inactiviteitslogboeken definiëren en afdwingen Handmatig, uitgeschakeld 1.1.0

Op rollen gebaseerde schema's

Id: FedRAMP High AC-2 (7) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Gebruik van aangepaste RBAC-rollen controleren Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering Controle, uitgeschakeld 1.0.1
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth Controleren, Weigeren, Uitgeschakeld 1.1.0
Accountactiviteit bewaken CMA_0377 - Accountactiviteit bewaken Handmatig, uitgeschakeld 1.1.0
Bevoorrechte roltoewijzing bewaken CMA_0378 - Bevoorrechte roltoewijzing bewaken Handmatig, uitgeschakeld 1.1.0
Toegang tot bevoegde accounts beperken CMA_0446 - Toegang tot bevoegde accounts beperken Handmatig, uitgeschakeld 1.1.0
Bevoorrechte rollen intrekken, indien van toepassing CMA_0483 - Bevoegde rollen intrekken, indien van toepassing Handmatig, uitgeschakeld 1.1.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren Controleren, Weigeren, Uitgeschakeld 1.1.0
Privileged Identity Management gebruiken CMA_0533 - Privileged Identity Management gebruiken Handmatig, uitgeschakeld 1.1.0

Beperkingen voor het gebruik van gedeelde groepen/accounts

Id: FedRAMP High AC-2 (9) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voorwaarden voor gedeelde en groepsaccounts definiëren en afdwingen CMA_0117 - Voorwaarden voor gedeelde en groepsaccounts definiëren en afdwingen Handmatig, uitgeschakeld 1.1.0

Beëindiging van referenties voor gedeeld/groepsaccount

Id: FedRAMP High AC-2 (10) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Door de klant beheerde accountreferenties beëindigen CMA_C1022 - Door de klant beheerde accountreferenties beëindigen Handmatig, uitgeschakeld 1.1.0

Gebruiksvoorwaarden

Id: FedRAMP High AC-2 (11) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Het juiste gebruik van alle accounts afdwingen CMA_C1023 - Het juiste gebruik van alle accounts afdwingen Handmatig, uitgeschakeld 1.1.0

Accountbewaking/atypisch gebruik

Id: FedRAMP High AC-2 (12) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, uitgeschakeld 6.0.0-preview
Azure Defender voor App Service moet zijn ingeschakeld Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Key Vault moet zijn ingeschakeld Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.0.0
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage moet zijn ingeschakeld Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. AuditIfNotExists, uitgeschakeld 1.0.0
Accountactiviteit bewaken CMA_0377 - Accountactiviteit bewaken Handmatig, uitgeschakeld 1.1.0
Atypisch gedrag van gebruikersaccounts rapporteren CMA_C1025 - Atypisch gedrag van gebruikersaccounts rapporteren Handmatig, uitgeschakeld 1.1.0

Accounts uitschakelen voor personen met een hoog risico

Id: FedRAMP High AC-2 (13) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Gebruikersaccounts uitschakelen die een aanzienlijk risico vormen CMA_C1026 - Gebruikersaccounts uitschakelen die een aanzienlijk risico vormen Handmatig, uitgeschakeld 1.1.0

Afdwinging van toegang

Id: FedRAMP High AC-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0
App Service-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Linux-machines controleren met accounts zonder wachtwoorden Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoorden AuditIfNotExists, uitgeschakeld 3.1.0
Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, uitgeschakeld 3.2.0
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth Controleren, Weigeren, Uitgeschakeld 1.1.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 3.1.0
Logische toegang afdwingen CMA_0245 - Logische toegang afdwingen Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0
Functie-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Goedkeuring vereisen voor het maken van een account CMA_0431 - Goedkeuring vereisen voor het maken van accounts Handmatig, uitgeschakeld 1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens Handmatig, uitgeschakeld 1.1.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren Controleren, Weigeren, Uitgeschakeld 1.1.0
Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw opslagaccounts, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer Controleren, Weigeren, Uitgeschakeld 1.0.0
Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw virtuele machines, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure Active Directory en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer Controleren, Weigeren, Uitgeschakeld 1.0.0

Afdwinging van gegevensstromen

Id: FedRAMP High AC-4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controle, uitgeschakeld 1.0.1-afgeschaft
[Afgeschaft]: Cognitive Services moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. Controle, uitgeschakeld 3.0.1 afgeschaft
[Preview]: Al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie AuditIfNotExists, uitgeschakeld 3.0.0-preview
[Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 3.1.0-preview
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. AuditIfNotExists, uitgeschakeld 3.0.0
API Management-services moeten een virtueel netwerk gebruiken Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. Controleren, Weigeren, Uitgeschakeld 1.0.2
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2
Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. AuditIfNotExists, uitgeschakeld 2.0.0
Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. Controle, uitgeschakeld 2.0.1
Azure AI Services-resources moeten netwerktoegang beperken Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. Controleren, Weigeren, Uitgeschakeld 3.2.0
De Azure-API voor FHIR moet een privé-koppeling gebruiken De Azure-API voor FHIR moet over ten minste een goedgekeurde privé-eindpuntverbinding beschikken. Clients in een virtueel netwerk hebben beveiligde toegang tot resources met privé-eindpuntverbindingen door middel van privékoppelingen. Voor meer informatie gaat u naar: https://aka.ms/fhir-privatelink. Controle, uitgeschakeld 1.0.0
Azure Cache voor Redis moet private link gebruiken Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cosmos DB-accounts moeten firewallregels bevatten Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. Controleren, Weigeren, Uitgeschakeld 2.1.0
Azure Data Factory moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Azure File Sync moet gebruikmaken van private link Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Key Vault moet firewall zijn ingeschakeld Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security Controleren, Weigeren, Uitgeschakeld 3.2.1
Azure Key Vaults moet gebruikmaken van een privékoppeling Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controle, uitgeschakeld 1.0.0
Azure Service Bus-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure SignalR Service moet Private Link worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. Controle, uitgeschakeld 1.0.0
Azure Synapse-werkruimten moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Controle, uitgeschakeld 1.0.1
De Azure Web PubSub-service moet gebruikmaken van een privékoppeling Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. Controle, uitgeschakeld 1.0.0
Containerregisters mogen geen onbeperkte netwerktoegang toestaan Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinken https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Controleren, Weigeren, Uitgeschakeld 2.0.0
Containerregisters moeten een privékoppeling gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. Controle, uitgeschakeld 1.0.1
Informatiestroom beheren CMA_0079 - Informatiestroom beheren Handmatig, uitgeschakeld 1.1.0
CosmosDB-accounts moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Controle, uitgeschakeld 1.0.0
Resources voor schijftoegang moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, uitgeschakeld 1.0.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken Handmatig, uitgeschakeld 1.1.0
Event Hub-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. Controle, uitgeschakeld 1.0.0
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten moeten gesloten zijn op uw virtuele machines Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. AuditIfNotExists, uitgeschakeld 3.0.0
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0
Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MariaDB. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MySQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for PostgreSQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Controleren, Weigeren, Uitgeschakeld 1.1.0
Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MariaDB alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. Controleren, Weigeren, Uitgeschakeld 2.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. Controleren, Weigeren, Uitgeschakeld 2.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk. Controleren, Weigeren, Uitgeschakeld 2.0.1
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. Controleren, Weigeren, Uitgeschakeld 1.0.1
Opslagaccounts moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, uitgeschakeld 2.0.0
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. AuditIfNotExists, uitgeschakeld 3.0.0
VM Image Builder-sjablonen moeten een private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw VM Image Builder-bouwresources, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Controleren, uitgeschakeld, weigeren 1.1.0

Filters voor beveiligingsbeleid

Id: FedRAMP High AC-4 (8) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Informatiestroombeheer met behulp van beveiligingsbeleidsfilters CMA_C1029 - Informatiestroombeheer met behulp van filters voor beveiligingsbeleid Handmatig, uitgeschakeld 1.1.0

Fysieke/logische scheiding van informatiestromen

Id: FedRAMP High AC-4 (21) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Informatiestroom beheren CMA_0079 - Informatiestroom beheren Handmatig, uitgeschakeld 1.1.0
Configuratiestandaarden voor firewall en router instellen CMA_0272 - Configuratiestandaarden voor firewall en router instellen Handmatig, uitgeschakeld 1.1.0
Netwerksegmentatie instellen voor kaarthoudergegevensomgeving CMA_0273 - Netwerksegmentatie instellen voor de gegevensomgeving van de kaarthouder Handmatig, uitgeschakeld 1.1.0
Downstreaminformatie-uitwisselingen identificeren en beheren CMA_0298 : downstreaminformatieuitwisseling identificeren en beheren Handmatig, uitgeschakeld 1.1.0

Scheiding van taken

Id: FedRAMP High AC-5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegangsautorisaties definiëren ter ondersteuning van scheiding van taken CMA_0116 - Toegangsautorisaties definiëren om scheiding van taken te ondersteunen Handmatig, uitgeschakeld 1.1.0
Documentscheiding van taken CMA_0204 - Scheiding van taken Handmatig, uitgeschakeld 1.1.0
Afzonderlijke taken van personen CMA_0492 - Afzonderlijke taken van personen Handmatig, uitgeschakeld 1.1.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders. AuditIfNotExists, uitgeschakeld 3.0.0

Minimale bevoegdheden

Id: FedRAMP High AC-6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. AuditIfNotExists, uitgeschakeld 3.0.0
Gebruik van aangepaste RBAC-rollen controleren Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering Controle, uitgeschakeld 1.0.1
Een model voor toegangsbeheer ontwerpen CMA_0129 - Een model voor toegangsbeheer ontwerpen Handmatig, uitgeschakeld 1.1.0
Minimale toegang tot bevoegdheden gebruiken CMA_0212 - Toegang tot minimale bevoegdheden gebruiken Handmatig, uitgeschakeld 1.1.0

Toegang tot beveiligingsfuncties autoriseren

Id: FedRAMP High AC-6 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0

Bevoegde accounts

Id: FedRAMP High AC-6 (5) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot bevoegde accounts beperken CMA_0446 - Toegang tot bevoegde accounts beperken Handmatig, uitgeschakeld 1.1.0

Controle van gebruikersbevoegdheden

Id: FedRAMP High AC-6 (7) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. AuditIfNotExists, uitgeschakeld 3.0.0
Gebruik van aangepaste RBAC-rollen controleren Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering Controle, uitgeschakeld 1.0.1
Gebruikersbevoegdheden indien nodig opnieuw toewijzen of verwijderen CMA_C1040 : gebruikersbevoegdheden indien nodig opnieuw toewijzen of verwijderen Handmatig, uitgeschakeld 1.1.0
Gebruikersbevoegdheden controleren CMA_C1039 - Gebruikersbevoegdheden controleren Handmatig, uitgeschakeld 1.1.0

Bevoegdheidsniveaus voor het uitvoeren van code

Id: FedRAMP High AC-6 (8) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegdheden voor software-uitvoering afdwingen CMA_C1041 - Bevoegdheden voor software-uitvoering afdwingen Handmatig, uitgeschakeld 1.1.0

Het gebruik van bevoegde functies controleren

Id: FedRAMP High AC-6 (9) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Voer een volledige tekstanalyse uit van vastgelegde opdrachten met bevoegdheden CMA_0056 - Voer een volledige tekstanalyse uit van vastgelegde bevoegde opdrachten Handmatig, uitgeschakeld 1.1.0
Bevoorrechte roltoewijzing bewaken CMA_0378 - Bevoorrechte roltoewijzing bewaken Handmatig, uitgeschakeld 1.1.0
Toegang tot bevoegde accounts beperken CMA_0446 - Toegang tot bevoegde accounts beperken Handmatig, uitgeschakeld 1.1.0
Bevoorrechte rollen intrekken, indien van toepassing CMA_0483 - Bevoegde rollen intrekken, indien van toepassing Handmatig, uitgeschakeld 1.1.0
Privileged Identity Management gebruiken CMA_0533 - Privileged Identity Management gebruiken Handmatig, uitgeschakeld 1.1.0

Mislukte aanmeldingspogingen

Id: FedRAMP High AC-7 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een limiet afdwingen van opeenvolgende mislukte aanmeldingspogingen CMA_C1044 - Een limiet afdwingen van opeenvolgende mislukte aanmeldingspogingen Handmatig, uitgeschakeld 1.1.0

Gelijktijdige sessies beheren

Id: FedRAMP High AC-10 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
De limiet van gelijktijdige sessies definiëren en afdwingen CMA_C1050 - De limiet van gelijktijdige sessies definiëren en afdwingen Handmatig, uitgeschakeld 1.1.0

Sessiebeëindiging

Id: FedRAMP High AC-12 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Gebruikerssessie automatisch beëindigen CMA_C1054 - Gebruikerssessie automatisch beëindigen Handmatig, uitgeschakeld 1.1.0

Door de gebruiker geïnitieerde afmeldingen/berichtweergaven

Id: FedRAMP High AC-12 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een expliciet afmeldingsbericht weergeven CMA_C1056 - Een expliciet afmeldingsbericht weergeven Handmatig, uitgeschakeld 1.1.0
De afmeldingsmogelijkheid bieden CMA_C1055 - De afmeldingsmogelijkheid bieden Handmatig, uitgeschakeld 1.1.0

Toegestane acties zonder identificatie of verificatie

Id: FedRAMP High AC-14 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Acties identificeren die zonder verificatie zijn toegestaan CMA_0295 - Acties identificeren die zijn toegestaan zonder verificatie Handmatig, uitgeschakeld 1.1.0

Externe toegang

Id: FedRAMP High AC-17 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controle, uitgeschakeld 1.0.1-afgeschaft
[Afgeschaft]: Cognitive Services moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. Controle, uitgeschakeld 3.0.1 afgeschaft
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2
App Service-apps moeten externe foutopsporing hebben uitgeschakeld Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan AuditIfNotExists, uitgeschakeld 3.1.0
Externe toegang autoriseren CMA_0024 - Externe toegang autoriseren Handmatig, uitgeschakeld 1.1.0
De Azure-API voor FHIR moet een privé-koppeling gebruiken De Azure-API voor FHIR moet over ten minste een goedgekeurde privé-eindpuntverbinding beschikken. Clients in een virtueel netwerk hebben beveiligde toegang tot resources met privé-eindpuntverbindingen door middel van privékoppelingen. Voor meer informatie gaat u naar: https://aka.ms/fhir-privatelink. Controle, uitgeschakeld 1.0.0
Azure Cache voor Redis moet private link gebruiken Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Data Factory moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Azure File Sync moet gebruikmaken van private link Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Key Vaults moet gebruikmaken van een privékoppeling Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controle, uitgeschakeld 1.0.0
Azure Service Bus-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure SignalR Service moet Private Link worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. Controle, uitgeschakeld 1.0.0
Azure Spring Cloud moet netwerkinjectie gebruiken Azure Spring Cloud-exemplaren moeten virtuele netwerkinjectie gebruiken voor de volgende doeleinden: 1. Azure Spring Cloud isoleren van internet. 2. Azure Spring Cloud-interactie met systemen inschakelen in on-premises datacentrums of Azure-services in andere virtuele netwerken. 3. Klanten in staat stellen de binnenkomende en uitgaande netwerkcommunicatie voor Azure Spring Cloud te beheren. Controleren, uitgeschakeld, weigeren 1.2.0
Azure Synapse-werkruimten moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Controle, uitgeschakeld 1.0.1
De Azure Web PubSub-service moet gebruikmaken van een privékoppeling Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. Controle, uitgeschakeld 1.0.0
Containerregisters moeten een privékoppeling gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. Controle, uitgeschakeld 1.0.1
CosmosDB-accounts moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Controle, uitgeschakeld 1.0.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 3.1.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.2.0
Resources voor schijftoegang moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, uitgeschakeld 1.0.0
Training voor documentmobiliteit CMA_0191 - Training voor documentmobiliteit Handmatig, uitgeschakeld 1.1.0
Richtlijnen voor externe toegang document CMA_0196 - Richtlijnen voor externe toegang document Handmatig, uitgeschakeld 1.1.0
Event Hub-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Functie-apps moeten externe foutopsporing uitschakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
Besturingselementen implementeren om alternatieve werksites te beveiligen CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen Handmatig, uitgeschakeld 1.1.0
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. Controle, uitgeschakeld 1.0.0
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0
Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MariaDB. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MySQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for PostgreSQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Privacytraining bieden CMA_0415 - Privacytraining bieden Handmatig, uitgeschakeld 1.1.0
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, uitgeschakeld 2.0.0
VM Image Builder-sjablonen moeten een private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw VM Image Builder-bouwresources, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Controleren, uitgeschakeld, weigeren 1.1.0

Geautomatiseerde bewaking/beheer

Id: FedRAMP High AC-17 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controle, uitgeschakeld 1.0.1-afgeschaft
[Afgeschaft]: Cognitive Services moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. Controle, uitgeschakeld 3.0.1 afgeschaft
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2
App Service-apps moeten externe foutopsporing hebben uitgeschakeld Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan AuditIfNotExists, uitgeschakeld 3.1.0
De Azure-API voor FHIR moet een privé-koppeling gebruiken De Azure-API voor FHIR moet over ten minste een goedgekeurde privé-eindpuntverbinding beschikken. Clients in een virtueel netwerk hebben beveiligde toegang tot resources met privé-eindpuntverbindingen door middel van privékoppelingen. Voor meer informatie gaat u naar: https://aka.ms/fhir-privatelink. Controle, uitgeschakeld 1.0.0
Azure Cache voor Redis moet private link gebruiken Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Data Factory moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Azure File Sync moet gebruikmaken van private link Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Key Vaults moet gebruikmaken van een privékoppeling Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controle, uitgeschakeld 1.0.0
Azure Service Bus-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure SignalR Service moet Private Link worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. Controle, uitgeschakeld 1.0.0
Azure Spring Cloud moet netwerkinjectie gebruiken Azure Spring Cloud-exemplaren moeten virtuele netwerkinjectie gebruiken voor de volgende doeleinden: 1. Azure Spring Cloud isoleren van internet. 2. Azure Spring Cloud-interactie met systemen inschakelen in on-premises datacentrums of Azure-services in andere virtuele netwerken. 3. Klanten in staat stellen de binnenkomende en uitgaande netwerkcommunicatie voor Azure Spring Cloud te beheren. Controleren, uitgeschakeld, weigeren 1.2.0
Azure Synapse-werkruimten moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Controle, uitgeschakeld 1.0.1
De Azure Web PubSub-service moet gebruikmaken van een privékoppeling Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. Controle, uitgeschakeld 1.0.0
Containerregisters moeten een privékoppeling gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. Controle, uitgeschakeld 1.0.1
CosmosDB-accounts moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Controle, uitgeschakeld 1.0.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 3.1.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.2.0
Resources voor schijftoegang moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, uitgeschakeld 1.0.0
Event Hub-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Functie-apps moeten externe foutopsporing uitschakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. Controle, uitgeschakeld 1.0.0
Toegang in de hele organisatie bewaken CMA_0376 - Toegang in de hele organisatie bewaken Handmatig, uitgeschakeld 1.1.0
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0
Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MariaDB. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MySQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for PostgreSQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, uitgeschakeld 2.0.0
VM Image Builder-sjablonen moeten een private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw VM Image Builder-bouwresources, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Controleren, uitgeschakeld, weigeren 1.1.0

Bescherming van vertrouwelijkheid/integriteit met behulp van versleuteling

Id: FedRAMP High AC-17 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Gebruikers op de hoogte stellen van systeemaanmelding of -toegang CMA_0382 - Gebruikers op de hoogte stellen van systeemaanmelding of -toegang Handmatig, uitgeschakeld 1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0

Beheerde toegangsbeheerpunten

Id: FedRAMP High AC-17 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Verkeer routeren via beheerde netwerktoegangspunten CMA_0484 - Verkeer routeren via beheerde netwerktoegangspunten Handmatig, uitgeschakeld 1.1.0

Bevoegde opdrachten/toegang

Id: FedRAMP High AC-17 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Externe toegang autoriseren CMA_0024 - Externe toegang autoriseren Handmatig, uitgeschakeld 1.1.0
Externe toegang tot bevoegde opdrachten autoriseren CMA_C1064 - Externe toegang tot bevoegde opdrachten autoriseren Handmatig, uitgeschakeld 1.1.0
Richtlijnen voor externe toegang document CMA_0196 - Richtlijnen voor externe toegang document Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alternatieve werksites te beveiligen CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen Handmatig, uitgeschakeld 1.1.0
Privacytraining bieden CMA_0415 - Privacytraining bieden Handmatig, uitgeschakeld 1.1.0

Toegang verbreken/uitschakelen

Id: FedRAMP High AC-17 (9) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Mogelijkheid bieden om externe toegang te verbreken of uit te schakelen CMA_C1066 - Mogelijkheid bieden om externe toegang te verbreken of uit te schakelen Handmatig, uitgeschakeld 1.1.0

Draadloze toegang

Id: FedRAMP High AC-18 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Richtlijnen voor draadloze toegang documenteer en implementeer deze CMA_0190 - Richtlijnen voor draadloze toegang documenteer en implementeer deze Handmatig, uitgeschakeld 1.1.0
Draadloze toegang beveiligen CMA_0411 - Draadloze toegang beveiligen Handmatig, uitgeschakeld 1.1.0

Verificatie en versleuteling

Id: FedRAMP High AC-18 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Richtlijnen voor draadloze toegang documenteer en implementeer deze CMA_0190 - Richtlijnen voor draadloze toegang documenteer en implementeer deze Handmatig, uitgeschakeld 1.1.0
Netwerkapparaten identificeren en verifiëren CMA_0296 - Netwerkapparaten identificeren en verifiëren Handmatig, uitgeschakeld 1.1.0
Draadloze toegang beveiligen CMA_0411 - Draadloze toegang beveiligen Handmatig, uitgeschakeld 1.1.0

Toegangsbeheer voor mobiele apparaten

Id: FedRAMP High AC-19 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Vereisten voor mobiele apparaten definiëren CMA_0122 - Vereisten voor mobiele apparaten definiëren Handmatig, uitgeschakeld 1.1.0

Volledige apparaat-/containerversleuteling

Id: FedRAMP High AC-19 (5) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Vereisten voor mobiele apparaten definiëren CMA_0122 - Vereisten voor mobiele apparaten definiëren Handmatig, uitgeschakeld 1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0

Gebruik van externe informatiesystemen

Id: FedRAMP High AC-20 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voorwaarden instellen voor toegang tot resources CMA_C1076 - Voorwaarden instellen voor toegang tot resources Handmatig, uitgeschakeld 1.1.0
Voorwaarden voor het verwerken van resources instellen CMA_C1077 - Voorwaarden voor het verwerken van resources instellen Handmatig, uitgeschakeld 1.1.0

Limieten voor geautoriseerd gebruik

Id: FedRAMP High AC-20 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingscontroles voor externe informatiesystemen controleren CMA_0541 - Beveiligingscontroles voor externe informatiesystemen controleren Handmatig, uitgeschakeld 1.1.0

Draagbare opslagapparaten

Id: FedRAMP High AC-20 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Het gebruik van draagbare opslagapparaten beheren CMA_0083 - Het gebruik van draagbare opslagapparaten beheren Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0

Informatie delen

Id: FedRAMP High AC-21 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beslissingen voor het delen van gegevens automatiseren CMA_0028 - Beslissingen over het delen van gegevens automatiseren Handmatig, uitgeschakeld 1.1.0
Het delen van informatie vergemakkelijken CMA_0284 - Informatie delen vergemakkelijken Handmatig, uitgeschakeld 1.1.0

Openbaar toegankelijke inhoud

Id: FedRAMP High AC-22 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Geautoriseerd personeel aanwijzen om openbaar toegankelijke informatie te posten CMA_C1083 - Geautoriseerd personeel aanwijzen om openbaar toegankelijke informatie te posten Handmatig, uitgeschakeld 1.1.0
Inhoud controleren voordat u openbaar toegankelijke informatie plaatst CMA_C1085 - Inhoud controleren voordat u openbaar toegankelijke informatie plaatst Handmatig, uitgeschakeld 1.1.0
Openbaar toegankelijke inhoud voor niet-openbare informatie controleren CMA_C1086 - Openbaar toegankelijke inhoud voor niet-openbare informatie controleren Handmatig, uitgeschakeld 1.1.0
Personeel trainen over openbaarmaking van niet-openbare informatie CMA_C1084 - Personeel trainen over openbaarmaking van niet-openbare informatie Handmatig, uitgeschakeld 1.1.0

Bewustzijn en training

Beleid en procedures voor beveiligingsbewustzijn en -training

Id: FedRAMP High AT-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Trainingsactiviteiten voor beveiliging en privacy document CMA_0198 - Trainingsactiviteiten voor documentbeveiliging en privacy Handmatig, uitgeschakeld 1.1.0
Informatiebeveiligingsbeleid bijwerken CMA_0518 - Informatiebeveiligingsbeleid bijwerken Handmatig, uitgeschakeld 1.1.0

Training in beveiligingsbewustzijn

Id: FedRAMP High AT-2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Periodieke training voor beveiligingsbewustzijn bieden CMA_C1091 - Periodieke training voor beveiligingsbewustzijn bieden Handmatig, uitgeschakeld 1.1.0
Beveiligingstraining bieden voor nieuwe gebruikers CMA_0419 - Beveiligingstraining bieden voor nieuwe gebruikers Handmatig, uitgeschakeld 1.1.0
Bijgewerkte training voor beveiligingsbewustzijn bieden CMA_C1090 - Bijgewerkte training voor beveiligingsbewustzijn bieden Handmatig, uitgeschakeld 1.1.0

Insider-bedreiging

Id: FedRAMP High AT-2 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Training voor beveiligingsbewustzijn bieden voor bedreigingen van insiders CMA_0417 - Training voor beveiligingsbewustzijn bieden voor bedreigingen van binnenin Handmatig, uitgeschakeld 1.1.0

Op rollen gebaseerde beveiligingstraining

Id: FedRAMP High AT-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Periodieke beveiligingstraining op basis van rollen bieden CMA_C1095 - Periodieke beveiligingstraining op basis van rollen bieden Handmatig, uitgeschakeld 1.1.0
Op rollen gebaseerde beveiligingstraining bieden CMA_C1094 - Op rollen gebaseerde beveiligingstraining bieden Handmatig, uitgeschakeld 1.1.0
Beveiligingstraining bieden voordat u toegang verleent CMA_0418 - Beveiligingstraining bieden voordat u toegang verleent Handmatig, uitgeschakeld 1.1.0

Praktische oefeningen

Id: FedRAMP High AT-3 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Praktische oefeningen op basis van rollen bieden CMA_C1096 - Praktische oefeningen op basis van rollen bieden Handmatig, uitgeschakeld 1.1.0

Verdachte communicatie en afwijkend systeemgedrag

Id: FedRAMP High AT-3 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Training op basis van rollen bieden voor verdachte activiteiten CMA_C1097 - Training op basis van rollen bieden op verdachte activiteiten Handmatig, uitgeschakeld 1.1.0

Beveiligingstrainingsrecords

Id: FedRAMP High AT-4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Trainingsactiviteiten voor beveiliging en privacy document CMA_0198 - Trainingsactiviteiten voor documentbeveiliging en privacy Handmatig, uitgeschakeld 1.1.0
Voltooiing van beveiligings- en privacytraining bewaken CMA_0379 - Voltooiing van beveiligings- en privacytraining controleren Handmatig, uitgeschakeld 1.1.0
Trainingsrecords behouden CMA_0456 - Trainingsrecords behouden Handmatig, uitgeschakeld 1.1.0

Controle en verantwoordelijkheid

Beleid en procedures voor controle en verantwoording

Id: FedRAMP High AU-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controle- en verantwoordingsbeleid en -procedures ontwikkelen CMA_0154 - Beleid en procedures voor controle en verantwoording ontwikkelen Handmatig, uitgeschakeld 1.1.0
Informatiebeveiligingsbeleid en -procedures ontwikkelen CMA_0158 - Informatiebeveiligingsbeleid en -procedures ontwikkelen Handmatig, uitgeschakeld 1.1.0
Beleidsregels en procedures beheren CMA_0292 - Beleid en procedures beheren Handmatig, uitgeschakeld 1.1.0
Informatiebeveiligingsbeleid bijwerken CMA_0518 - Informatiebeveiligingsbeleid bijwerken Handmatig, uitgeschakeld 1.1.0

Controlegebeurtenissen

Id: FedRAMP High AU-2 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0

Beoordelingen en updates

Id: FedRAMP High AU-2 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
De gebeurtenissen controleren en bijwerken die zijn gedefinieerd in AU-02 CMA_C1106 - De gebeurtenissen controleren en bijwerken die zijn gedefinieerd in AU-02 Handmatig, uitgeschakeld 1.1.0

Inhoud van controlerecords

Id: FedRAMP High AU-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0

Aanvullende controlegegevens

Id: FedRAMP High AU-3 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Mogelijkheden voor Azure Audit configureren CMA_C1108 - Mogelijkheden voor Azure Audit configureren Handmatig, uitgeschakeld 1.1.1

Opslagcapaciteit controleren

Id: FedRAMP High AU-4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controleverwerkingsactiviteiten beheren en bewaken CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken Handmatig, uitgeschakeld 1.1.0

Reactie op verwerkingsfouten controleren

Id: FedRAMP High AU-5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controleverwerkingsactiviteiten beheren en bewaken CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken Handmatig, uitgeschakeld 1.1.0

Realtime waarschuwingen

Id: FedRAMP High AU-5 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Realtimewaarschuwingen opgeven voor fouten in auditgebeurtenissen CMA_C1114 - Realtime waarschuwingen bieden voor fouten in auditgebeurtenissen Handmatig, uitgeschakeld 1.1.0

Controlebeoordeling, analyse en rapportage

Id: FedRAMP High AU-6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, uitgeschakeld 6.0.0-preview
[Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
[Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
Azure Defender voor App Service moet zijn ingeschakeld Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Key Vault moet zijn ingeschakeld Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
Controlerecords correleren CMA_0087 - Auditrecords correleren Handmatig, uitgeschakeld 1.1.0
Vereisten voor controlebeoordeling en rapportage vaststellen CMA_0277 : vereisten vaststellen voor controlebeoordeling en rapportage Handmatig, uitgeschakeld 1.1.0
Controlebeoordeling, analyse en rapportage integreren CMA_0339 - Controlebeoordeling, analyse en rapportage integreren Handmatig, uitgeschakeld 1.1.0
Cloud-app-beveiliging integreren met een siem CMA_0340 - Cloud-app-beveiliging integreren met een siem Handmatig, uitgeschakeld 1.1.0
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage moet zijn ingeschakeld Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. AuditIfNotExists, uitgeschakeld 1.0.0
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0
Accountinrichtingslogboeken controleren CMA_0460 - Accountinrichtingslogboeken controleren Handmatig, uitgeschakeld 1.1.0
Wekelijks beheerderstoewijzingen bekijken CMA_0461 - Wekelijks beheerderstoewijzingen controleren Handmatig, uitgeschakeld 1.1.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0
Overzicht van cloudidentiteitsrapport bekijken CMA_0468 - Overzicht van cloudidentiteitsrapport bekijken Handmatig, uitgeschakeld 1.1.0
Gecontroleerde toegangsgebeurtenissen voor mappen controleren CMA_0471 - Gecontroleerde toegangsgebeurtenissen voor mappen controleren Handmatig, uitgeschakeld 1.1.0
Bestands- en mapactiviteit controleren CMA_0473 - Bestands- en mapactiviteit controleren Handmatig, uitgeschakeld 1.1.0
Wijzigingen in rolgroepen wekelijks controleren CMA_0476 - Wijzigingen in rollengroep wekelijks controleren Handmatig, uitgeschakeld 1.1.0

Procesintegratie

Id: FedRAMP High AU-6 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controlerecords correleren CMA_0087 - Auditrecords correleren Handmatig, uitgeschakeld 1.1.0
Vereisten voor controlebeoordeling en rapportage vaststellen CMA_0277 : vereisten vaststellen voor controlebeoordeling en rapportage Handmatig, uitgeschakeld 1.1.0
Controlebeoordeling, analyse en rapportage integreren CMA_0339 - Controlebeoordeling, analyse en rapportage integreren Handmatig, uitgeschakeld 1.1.0
Cloud-app-beveiliging integreren met een siem CMA_0340 - Cloud-app-beveiliging integreren met een siem Handmatig, uitgeschakeld 1.1.0
Accountinrichtingslogboeken controleren CMA_0460 - Accountinrichtingslogboeken controleren Handmatig, uitgeschakeld 1.1.0
Wekelijks beheerderstoewijzingen bekijken CMA_0461 - Wekelijks beheerderstoewijzingen controleren Handmatig, uitgeschakeld 1.1.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0
Overzicht van cloudidentiteitsrapport bekijken CMA_0468 - Overzicht van cloudidentiteitsrapport bekijken Handmatig, uitgeschakeld 1.1.0
Gecontroleerde toegangsgebeurtenissen voor mappen controleren CMA_0471 - Gecontroleerde toegangsgebeurtenissen voor mappen controleren Handmatig, uitgeschakeld 1.1.0
Bestands- en mapactiviteit controleren CMA_0473 - Bestands- en mapactiviteit controleren Handmatig, uitgeschakeld 1.1.0
Wijzigingen in rolgroepen wekelijks controleren CMA_0476 - Wijzigingen in rollengroep wekelijks controleren Handmatig, uitgeschakeld 1.1.0

Auditopslagplaatsen correleren

Id: FedRAMP High AU-6 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controlerecords correleren CMA_0087 - Auditrecords correleren Handmatig, uitgeschakeld 1.1.0
Cloud-app-beveiliging integreren met een siem CMA_0340 - Cloud-app-beveiliging integreren met een siem Handmatig, uitgeschakeld 1.1.0

Centrale beoordeling en analyse

Id: FedRAMP High AU-6 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, uitgeschakeld 6.0.0-preview
[Preview]: De Log Analytics-extensie moet worden geïnstalleerd op uw Linux Azure Arc-machines Met dit beleid worden Linux Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.1-preview
[Preview]: De Log Analytics-extensie moet zijn geïnstalleerd op uw Windows Azure Arc-machines Met dit beleid worden Windows Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.1-preview
[Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
[Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
App Service-apps moeten resourcelogboeken hebben ingeschakeld Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. AuditIfNotExists, uitgeschakeld 2.0.1
Controle op SQL Server moet zijn ingeschakeld Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. AuditIfNotExists, uitgeschakeld 2.0.0
Azure Defender voor App Service moet zijn ingeschakeld Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Key Vault moet zijn ingeschakeld Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeld 1.0.3
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage moet zijn ingeschakeld Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. AuditIfNotExists, uitgeschakeld 1.0.0
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0
Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Event Hub moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in IoT Hub moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 3.1.0
Resourcelogboeken in Key Vault moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Logic Apps moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.1.0
Resourcelogboeken in Search-service s moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Service Bus moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol AuditIfNotExists, uitgeschakeld 1.0.1

Integratie/scan- en bewakingsmogelijkheden

Id: FedRAMP High AU-6 (5) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, uitgeschakeld 6.0.0-preview
[Preview]: De Log Analytics-extensie moet worden geïnstalleerd op uw Linux Azure Arc-machines Met dit beleid worden Linux Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.1-preview
[Preview]: De Log Analytics-extensie moet zijn geïnstalleerd op uw Windows Azure Arc-machines Met dit beleid worden Windows Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.1-preview
[Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
[Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
App Service-apps moeten resourcelogboeken hebben ingeschakeld Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. AuditIfNotExists, uitgeschakeld 2.0.1
Controle op SQL Server moet zijn ingeschakeld Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. AuditIfNotExists, uitgeschakeld 2.0.0
Azure Defender voor App Service moet zijn ingeschakeld Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Key Vault moet zijn ingeschakeld Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeld 1.0.3
Auditrecordanalyse integreren CMA_C1120 - Auditrecordanalyse integreren Handmatig, uitgeschakeld 1.1.0
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage moet zijn ingeschakeld Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. AuditIfNotExists, uitgeschakeld 1.0.0
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0
Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Event Hub moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in IoT Hub moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 3.1.0
Resourcelogboeken in Key Vault moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Logic Apps moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.1.0
Resourcelogboeken in Search-service s moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Service Bus moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol AuditIfNotExists, uitgeschakeld 1.0.1

Toegestane acties

Id: FedRAMP High AU-6 (7) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegestane acties opgeven die zijn gekoppeld aan klantcontrolegegevens CMA_C1122 - Toegestane acties opgeven die zijn gekoppeld aan klantcontrolegegevens Handmatig, uitgeschakeld 1.1.0

Aanpassing op controleniveau

Id: FedRAMP High AU-6 (10) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controlebeoordeling, analyse en rapportage aanpassen CMA_C1123 : controlebeoordeling, analyse en rapportage aanpassen Handmatig, uitgeschakeld 1.1.0

Controlereductie en rapportgeneratie

Id: FedRAMP High AU-7 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controleren of controlerecords niet worden gewijzigd CMA_C1125 - Controleren of controlerecords niet worden gewijzigd Handmatig, uitgeschakeld 1.1.0
Controlebeoordeling, analyse en rapportagemogelijkheid bieden CMA_C1124 - Controlebeoordeling, analyse en rapportagemogelijkheden bieden Handmatig, uitgeschakeld 1.1.0

Automatische verwerking

Id: FedRAMP High AU-7 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Mogelijkheid bieden om door de klant beheerde auditrecords te verwerken CMA_C1126 - Mogelijkheid bieden om door de klant beheerde auditrecords te verwerken Handmatig, uitgeschakeld 1.1.0

Tijdstempels

Id: FedRAMP High AU-8 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Systeemklokken gebruiken voor controlerecords CMA_0535 - Systeemklokken gebruiken voor controlerecords Handmatig, uitgeschakeld 1.1.0

Synchronisatie met gezaghebbende tijdbron

Id: FedRAMP High AU-8 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Systeemklokken gebruiken voor controlerecords CMA_0535 - Systeemklokken gebruiken voor controlerecords Handmatig, uitgeschakeld 1.1.0

Beveiliging van controlegegevens

Id: FedRAMP High AU-9 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Dubbele of gezamenlijke autorisatie inschakelen CMA_0226 - Dubbele of gezamenlijke autorisatie inschakelen Handmatig, uitgeschakeld 1.1.0
Controlegegevens beveiligen CMA_0401 - Controlegegevens beveiligen Handmatig, uitgeschakeld 1.1.0

Back-up controleren op afzonderlijke fysieke systemen/onderdelen

Id: FedRAMP High AU-9 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Back-upbeleid en -procedures instellen CMA_0268 - Back-upbeleid en -procedures instellen Handmatig, uitgeschakeld 1.1.0

Cryptografische beveiliging

Id: FedRAMP High AU-9 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Integriteit van controlesysteem behouden CMA_C1133 - Integriteit van controlesysteem behouden Handmatig, uitgeschakeld 1.1.0

Toegang per subset van bevoegde gebruikers

Id: FedRAMP High AU-9 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controlegegevens beveiligen CMA_0401 - Controlegegevens beveiligen Handmatig, uitgeschakeld 1.1.0

Niet-verwerping

Id: FedRAMP High AU-10 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Elektronische handtekening- en certificaatvereisten vaststellen CMA_0271 - Elektronische handtekening- en certificaatvereisten vaststellen Handmatig, uitgeschakeld 1.1.0

Retentie van controlerecord

Id: FedRAMP High AU-11 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden Handmatig, uitgeschakeld 1.1.0
Beveiligingsbeleid en -procedures behouden CMA_0454 - Beveiligingsbeleid en -procedures behouden Handmatig, uitgeschakeld 1.1.0
Beëindigde gebruikersgegevens behouden CMA_0455 - Beëindigde gebruikersgegevens behouden Handmatig, uitgeschakeld 1.1.0
SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger Voor onderzoeksdoeleinden voor incidenten raden we u aan om de gegevensretentie voor de controle van uw SQL Server in te stellen op de bestemming van het opslagaccount tot ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. AuditIfNotExists, uitgeschakeld 3.0.0

Controlegeneratie

Id: FedRAMP High AU-12 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, uitgeschakeld 6.0.0-preview
[Preview]: De Log Analytics-extensie moet worden geïnstalleerd op uw Linux Azure Arc-machines Met dit beleid worden Linux Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.1-preview
[Preview]: De Log Analytics-extensie moet zijn geïnstalleerd op uw Windows Azure Arc-machines Met dit beleid worden Windows Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.1-preview
[Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
[Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
App Service-apps moeten resourcelogboeken hebben ingeschakeld Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. AuditIfNotExists, uitgeschakeld 2.0.1
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Controle op SQL Server moet zijn ingeschakeld Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. AuditIfNotExists, uitgeschakeld 2.0.0
Azure Defender voor App Service moet zijn ingeschakeld Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Key Vault moet zijn ingeschakeld Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0
De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeld 1.0.3
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage moet zijn ingeschakeld Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. AuditIfNotExists, uitgeschakeld 1.0.0
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0
Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Event Hub moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in IoT Hub moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 3.1.0
Resourcelogboeken in Key Vault moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Logic Apps moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.1.0
Resourcelogboeken in Search-service s moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Service Bus moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol AuditIfNotExists, uitgeschakeld 1.0.1

Systeembrede/tijd-gecorreleerde audittrail

Id: FedRAMP High AU-12 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, uitgeschakeld 6.0.0-preview
[Preview]: De Log Analytics-extensie moet worden geïnstalleerd op uw Linux Azure Arc-machines Met dit beleid worden Linux Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.1-preview
[Preview]: De Log Analytics-extensie moet zijn geïnstalleerd op uw Windows Azure Arc-machines Met dit beleid worden Windows Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.1-preview
[Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
[Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
App Service-apps moeten resourcelogboeken hebben ingeschakeld Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. AuditIfNotExists, uitgeschakeld 2.0.1
Controle op SQL Server moet zijn ingeschakeld Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. AuditIfNotExists, uitgeschakeld 2.0.0
Azure Defender voor App Service moet zijn ingeschakeld Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Key Vault moet zijn ingeschakeld Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
Auditrecords compileren in systeembrede audit CMA_C1140 - Auditrecords compileren in systeembrede audit Handmatig, uitgeschakeld 1.1.0
De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeld 1.0.3
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage moet zijn ingeschakeld Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. AuditIfNotExists, uitgeschakeld 1.0.0
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0
Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Event Hub moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in IoT Hub moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 3.1.0
Resourcelogboeken in Key Vault moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Logic Apps moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.1.0
Resourcelogboeken in Search-service s moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Service Bus moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol AuditIfNotExists, uitgeschakeld 1.0.1

Wijzigingen door geautoriseerde personen

Id: FedRAMP High AU-12 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
De mogelijkheid bieden om de controle uit te breiden of te beperken voor door de klant geïmplementeerde resources CMA_C1141: de mogelijkheid bieden om controle uit te breiden of te beperken voor door de klant geïmplementeerde resources Handmatig, uitgeschakeld 1.1.0

Beveiligingsevaluatie en autorisatie

Beleid en procedures voor beveiligingsevaluatie en autorisatie

Id: FedRAMP High CA-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsevaluatie en autorisatiebeleid en -procedures controleren CMA_C1143 - Beveiligingsevaluatie en autorisatiebeleid en -procedures controleren Handmatig, uitgeschakeld 1.1.0

Beveiligingsevaluaties

Id: FedRAMP High CA-2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingscontroles evalueren CMA_C1145 - Beveiligingscontroles evalueren Handmatig, uitgeschakeld 1.1.0
Resultaten van beveiligingsevaluatie leveren CMA_C1147 - Resultaten van beveiligingsevaluatie leveren Handmatig, uitgeschakeld 1.1.0
Beveiligingsevaluatieplan ontwikkelen CMA_C1144 - Beveiligingsevaluatieplan ontwikkelen Handmatig, uitgeschakeld 1.1.0
Rapport Beveiligingsevaluatie produceren CMA_C1146 - Rapport Beveiligingsevaluatie produceren Handmatig, uitgeschakeld 1.1.0

Onafhankelijke beoordelaars

Id: FedRAMP High CA-2 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Onafhankelijke beoordelaars gebruiken om evaluaties van beveiligingscontroles uit te voeren CMA_C1148 - Onafhankelijke beoordelaars gebruiken om beveiligingscontroles uit te voeren Handmatig, uitgeschakeld 1.1.0

Gespecialiseerde evaluaties

Id: FedRAMP High CA-2 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Aanvullende tests selecteren voor evaluaties van beveiligingsbeheer CMA_C1149 - Aanvullende tests selecteren voor evaluaties van beveiligingsbeheer Handmatig, uitgeschakeld 1.1.0

Externe organisaties

Id: FedRAMP High CA-2 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Evaluatieresultaten accepteren CMA_C1150 - Evaluatieresultaten accepteren Handmatig, uitgeschakeld 1.1.0

Systeemverbindingen

Id: FedRAMP High CA-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Interconnectiebeveiligingsovereenkomsten vereisen CMA_C1151 - Interconnectiebeveiligingsovereenkomsten vereisen Handmatig, uitgeschakeld 1.1.0
Interconnectiebeveiligingsovereenkomsten bijwerken CMA_0519 - Beveiligingsovereenkomsten voor interconnectie bijwerken Handmatig, uitgeschakeld 1.1.0

Niet-geclassificeerde niet-nationale beveiligingssysteemverbindingen

Id: FedRAMP High CA-3 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Systeemgrensbescherming implementeren CMA_0328 - Systeemgrensbescherming implementeren Handmatig, uitgeschakeld 1.1.0

Beperkingen voor externe systeemverbindingen

Id: FedRAMP High CA-3 (5) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beperkingen toepassen op externe systeemverbindingen CMA_C1155 - Beperkingen toepassen op externe systeemverbindingen Handmatig, uitgeschakeld 1.1.0

Actieplan en mijlpalen

Id: FedRAMP High CA-5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
POA&M ontwikkelen CMA_C1156 - POA&M ontwikkelen Handmatig, uitgeschakeld 1.1.0
POA&M-items bijwerken CMA_C1157 - POA&M-items bijwerken Handmatig, uitgeschakeld 1.1.0

Beveiligingsautorisatie

Id: FedRAMP High CA-6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een gemachtigde (AO) toewijzen CMA_C1158 - Een autoriserende ambtenaar (AO) toewijzen Handmatig, uitgeschakeld 1.1.0
Controleren of resources zijn geautoriseerd CMA_C1159 - Controleren of resources zijn geautoriseerd Handmatig, uitgeschakeld 1.1.0
De beveiligingsautorisatie bijwerken CMA_C1160 - De beveiligingsautorisatie bijwerken Handmatig, uitgeschakeld 1.1.0

Doorlopende bewaking

Id: FedRAMP High CA-7 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Whitelist voor detectie configureren CMA_0068 - Whitelist voor detectie configureren Handmatig, uitgeschakeld 1.1.0
Sensoren inschakelen voor eindpuntbeveiligingsoplossing CMA_0514 - Sensoren inschakelen voor eindpuntbeveiligingsoplossing Handmatig, uitgeschakeld 1.1.0
Onafhankelijke beveiligingsbeoordeling ondergaan CMA_0515 - Onafhankelijke beveiligingsbeoordeling ondergaan Handmatig, uitgeschakeld 1.1.0

Onafhankelijke evaluatie

Id: FedRAMP High CA-7 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Onafhankelijke beoordelaars gebruiken voor continue bewaking CMA_C1168 - Onafhankelijke beoordelaars gebruiken voor continue bewaking Handmatig, uitgeschakeld 1.1.0

Trendanalyses

Id: FedRAMP High CA-7 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Gegevens analyseren die zijn verkregen uit continue bewaking CMA_C1169 - Gegevens analyseren die zijn verkregen uit continue bewaking Handmatig, uitgeschakeld 1.1.0

Onafhankelijke penetratieagent of team

Id: FedRAMP High CA-8 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Onafhankelijk team inzetten voor penetratietests CMA_C1171 - Onafhankelijk team inzetten voor penetratietests Handmatig, uitgeschakeld 1.1.0

Interne systeemverbindingen

Id: FedRAMP High CA-9 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controleren op privacy- en beveiligingsnaleving voordat u interne verbindingen tot stand kunt brengen CMA_0053 - Controleren op privacy- en beveiligingsnaleving voordat u interne verbindingen tot stand kunt brengen Handmatig, uitgeschakeld 1.1.0

Configuration Management

Beleid en procedures voor configuratiebeheer

Id: FedRAMP High CM-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beleid en procedures voor configuratiebeheer controleren en bijwerken CMA_C1175 - Beleid en procedures voor configuratiebeheer controleren en bijwerken Handmatig, uitgeschakeld 1.1.0

Basislijnconfiguratie

Id: FedRAMP High CM-2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Acties configureren voor niet-compatibele apparaten CMA_0062 - Acties configureren voor niet-compatibele apparaten Handmatig, uitgeschakeld 1.1.0
Basislijnconfiguraties ontwikkelen en onderhouden CMA_0153 : basislijnconfiguraties ontwikkelen en onderhouden Handmatig, uitgeschakeld 1.1.0
Beveiligingsconfiguratie-instellingen afdwingen CMA_0249 - Beveiligingsconfiguratie-instellingen afdwingen Handmatig, uitgeschakeld 1.1.0
Een configuratiebeheerbord instellen CMA_0254 - Een configuratiebeheerbord instellen Handmatig, uitgeschakeld 1.1.0
Een configuratiebeheerplan instellen en documenteer CMA_0264 - Een configuratiebeheerplan maken en documenteer Handmatig, uitgeschakeld 1.1.0
Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren CMA_0311 - Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren Handmatig, uitgeschakeld 1.1.0

Automatiseringsondersteuning voor nauwkeurigheid/valuta

Id: FedRAMP High CM-2 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Acties configureren voor niet-compatibele apparaten CMA_0062 - Acties configureren voor niet-compatibele apparaten Handmatig, uitgeschakeld 1.1.0
Basislijnconfiguraties ontwikkelen en onderhouden CMA_0153 : basislijnconfiguraties ontwikkelen en onderhouden Handmatig, uitgeschakeld 1.1.0
Beveiligingsconfiguratie-instellingen afdwingen CMA_0249 - Beveiligingsconfiguratie-instellingen afdwingen Handmatig, uitgeschakeld 1.1.0
Een configuratiebeheerbord instellen CMA_0254 - Een configuratiebeheerbord instellen Handmatig, uitgeschakeld 1.1.0
Een configuratiebeheerplan instellen en documenteer CMA_0264 - Een configuratiebeheerplan maken en documenteer Handmatig, uitgeschakeld 1.1.0
Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren CMA_0311 - Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren Handmatig, uitgeschakeld 1.1.0

Retentie van eerdere configuraties

Id: FedRAMP High CM-2 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Vorige versies van basislijnconfiguraties behouden CMA_C1181 : vorige versies van basislijnconfiguraties behouden Handmatig, uitgeschakeld 1.1.0

Systemen, onderdelen of apparaten configureren voor gebieden met een hoog risico

Id: FedRAMP High CM-2 (7) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsmaatregelen garanderen die niet nodig zijn wanneer de personen terugkeren CMA_C1183 - Beveiligingsmaatregelen garanderen die niet nodig zijn wanneer de personen terugkeren Handmatig, uitgeschakeld 1.1.0
Niet toestaan dat informatiesystemen worden begeleid bij personen CMA_C1182 - Niet toestaan dat informatiesystemen worden begeleid bij personen Handmatig, uitgeschakeld 1.1.0

Configuratiewijzigingsbeheer

Id: FedRAMP High CM-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een beveiligingsimpactanalyse uitvoeren CMA_0057 - Een beveiligingsimpactanalyse uitvoeren Handmatig, uitgeschakeld 1.1.0
Een standaard voor beveiligingsbeheer ontwikkelen en onderhouden CMA_0152 - Een standaard voor beveiligingsbeheer ontwikkelen en onderhouden Handmatig, uitgeschakeld 1.1.0
Een strategie voor risicobeheer vaststellen CMA_0258 - Een strategie voor risicobeheer instellen Handmatig, uitgeschakeld 1.1.0
Processen voor het instellen en wijzigen van documenten CMA_0265 - Processen voor het instellen en wijzigen van documenten Handmatig, uitgeschakeld 1.1.0
Configuratiebeheervereisten instellen voor ontwikkelaars CMA_0270 : configuratiebeheervereisten voor ontwikkelaars instellen Handmatig, uitgeschakeld 1.1.0
Een privacyimpactbeoordeling uitvoeren CMA_0387 - Een privacyimpactbeoordeling uitvoeren Handmatig, uitgeschakeld 1.1.0
Een risicoanalyse uitvoeren CMA_0388 - Een risicoanalyse uitvoeren Handmatig, uitgeschakeld 1.1.0
Controle uitvoeren voor configuratiewijzigingsbeheer CMA_0390 - Controle uitvoeren voor configuratiewijzigingsbeheer Handmatig, uitgeschakeld 1.1.0

Geautomatiseerd document/kennisgeving/verbod op wijzigingen

Id: FedRAMP High CM-3 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Goedkeuringsaanvraag voor voorgestelde wijzigingen automatiseren CMA_C1192 - Goedkeuringsaanvraag voor voorgestelde wijzigingen automatiseren Handmatig, uitgeschakeld 1.1.0
Implementatie van goedgekeurde wijzigingsmeldingen automatiseren CMA_C1196 - Implementatie van goedgekeurde wijzigingsmeldingen automatiseren Handmatig, uitgeschakeld 1.1.0
Proces automatiseren om geïmplementeerde wijzigingen te documenteren CMA_C1195 - Proces automatiseren om wijzigingen te documenteren Handmatig, uitgeschakeld 1.1.0
Proces automatiseren om niet-bekeken wijzigingsvoorstellen te markeren CMA_C1193 - Proces automatiseren om niet-bekeken wijzigingsvoorstellen te markeren Handmatig, uitgeschakeld 1.1.0
Proces automatiseren om de implementatie van niet-goedgekeurde wijzigingen te verbieden CMA_C1194 - Proces automatiseren om de implementatie van niet-goedgekeurde wijzigingen te verbieden Handmatig, uitgeschakeld 1.1.0
Voorgestelde gedocumenteerde wijzigingen automatiseren CMA_C1191 - Voorgestelde gedocumenteerde wijzigingen automatiseren Handmatig, uitgeschakeld 1.1.0

Testen/valideren/documentwijzigingen

Id: FedRAMP High CM-3 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Processen voor het instellen en wijzigen van documenten CMA_0265 - Processen voor het instellen en wijzigen van documenten Handmatig, uitgeschakeld 1.1.0
Configuratiebeheervereisten instellen voor ontwikkelaars CMA_0270 : configuratiebeheervereisten voor ontwikkelaars instellen Handmatig, uitgeschakeld 1.1.0
Controle uitvoeren voor configuratiewijzigingsbeheer CMA_0390 - Controle uitvoeren voor configuratiewijzigingsbeheer Handmatig, uitgeschakeld 1.1.0

Beveiligingsvertegenwoordiger

Id: FedRAMP High CM-3 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Informatiebeveiligingsvertegenwoordiger toewijzen om het besturingselement te wijzigen CMA_C1198 - Informatiebeveiligingsvertegenwoordiger toewijzen om het beheer te wijzigen Handmatig, uitgeschakeld 1.1.0

Cryptografiebeheer

Id: FedRAMP High CM-3 (6) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Zorg ervoor dat cryptografische mechanismen onder configuratiebeheer vallen CMA_C1199: ervoor zorgen dat cryptografische mechanismen onder configuratiebeheer vallen Handmatig, uitgeschakeld 1.1.0

Impactanalyse voor beveiliging

Id: FedRAMP High CM-4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een beveiligingsimpactanalyse uitvoeren CMA_0057 - Een beveiligingsimpactanalyse uitvoeren Handmatig, uitgeschakeld 1.1.0
Een standaard voor beveiligingsbeheer ontwikkelen en onderhouden CMA_0152 - Een standaard voor beveiligingsbeheer ontwikkelen en onderhouden Handmatig, uitgeschakeld 1.1.0
Een strategie voor risicobeheer vaststellen CMA_0258 - Een strategie voor risicobeheer instellen Handmatig, uitgeschakeld 1.1.0
Processen voor het instellen en wijzigen van documenten CMA_0265 - Processen voor het instellen en wijzigen van documenten Handmatig, uitgeschakeld 1.1.0
Configuratiebeheervereisten instellen voor ontwikkelaars CMA_0270 : configuratiebeheervereisten voor ontwikkelaars instellen Handmatig, uitgeschakeld 1.1.0
Een privacyimpactbeoordeling uitvoeren CMA_0387 - Een privacyimpactbeoordeling uitvoeren Handmatig, uitgeschakeld 1.1.0
Een risicoanalyse uitvoeren CMA_0388 - Een risicoanalyse uitvoeren Handmatig, uitgeschakeld 1.1.0
Controle uitvoeren voor configuratiewijzigingsbeheer CMA_0390 - Controle uitvoeren voor configuratiewijzigingsbeheer Handmatig, uitgeschakeld 1.1.0

Afzonderlijke testomgevingen

Id: FedRAMP High CM-4 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een beveiligingsimpactanalyse uitvoeren CMA_0057 - Een beveiligingsimpactanalyse uitvoeren Handmatig, uitgeschakeld 1.1.0
Processen voor het instellen en wijzigen van documenten CMA_0265 - Processen voor het instellen en wijzigen van documenten Handmatig, uitgeschakeld 1.1.0
Configuratiebeheervereisten instellen voor ontwikkelaars CMA_0270 : configuratiebeheervereisten voor ontwikkelaars instellen Handmatig, uitgeschakeld 1.1.0
Een privacyimpactbeoordeling uitvoeren CMA_0387 - Een privacyimpactbeoordeling uitvoeren Handmatig, uitgeschakeld 1.1.0
Controle uitvoeren voor configuratiewijzigingsbeheer CMA_0390 - Controle uitvoeren voor configuratiewijzigingsbeheer Handmatig, uitgeschakeld 1.1.0

Toegangsbeperkingen voor wijziging

Id: FedRAMP High CM-5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Processen voor het instellen en wijzigen van documenten CMA_0265 - Processen voor het instellen en wijzigen van documenten Handmatig, uitgeschakeld 1.1.0

Geautomatiseerde afdwinging van toegang/controle

Id: FedRAMP High CM-5 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegangsbeperkingen afdwingen en controleren CMA_C1203 - Toegangsbeperkingen afdwingen en controleren Handmatig, uitgeschakeld 1.1.0

Systeemwijzigingen controleren

Id: FedRAMP High CM-5 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Wijzigingen controleren op eventuele niet-geautoriseerde wijzigingen CMA_C1204 - Wijzigingen controleren op niet-geautoriseerde wijzigingen Handmatig, uitgeschakeld 1.1.0

Ondertekende onderdelen

Id: FedRAMP High CM-5 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Installatie van niet-geautoriseerde software en firmware beperken CMA_C1205 - Installatie van niet-geautoriseerde software en firmware beperken Handmatig, uitgeschakeld 1.1.0

Productie/operationele bevoegdheden beperken

Id: FedRAMP High CM-5 (5) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegdheden beperken om wijzigingen aan te brengen in de productieomgeving CMA_C1206 : bevoegdheden beperken om wijzigingen aan te brengen in de productieomgeving Handmatig, uitgeschakeld 1.1.0
Bevoegdheden controleren en opnieuw evalueren CMA_C1207 - Bevoegdheden controleren en opnieuw evalueren Handmatig, uitgeschakeld 1.1.0

Configuratie-instellingen

Id: FedRAMP High CM-6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. AuditIfNotExists, uitgeschakeld 1.0.0
App Service-apps moeten externe foutopsporing hebben uitgeschakeld Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. AuditIfNotExists, uitgeschakeld 2.0.0
De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters De invoegtoepassing voor beheerbeleid van Azure Kubernetes (AKS) voorziet in uitbreiding van Gatekeeper v3, een webhook voor de toegangscontroller voor Open Policy Agent (OPA) waarmee afdwinging en beveiliging op schaal en via gecentraliseerde, consistente manier worden toegepast op uw clusters. Controle, uitgeschakeld 1.0.2
Beveiligingsconfiguratie-instellingen afdwingen CMA_0249 - Beveiligingsconfiguratie-instellingen afdwingen Handmatig, uitgeschakeld 1.1.0
Voor functie-apps moeten clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. AuditIfNotExists, uitgeschakeld 1.0.0
Functie-apps moeten externe foutopsporing uitschakelen Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0
Voor functie-apps mag CORS niet zijn geconfigureerd om elke resource toegang te geven tot uw apps Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. AuditIfNotExists, uitgeschakeld 2.0.0
Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 9.3.0
Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen Voorkomen dat podcontainers de hostproces-id-naamruimte en host-IPC-naamruimte delen in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.2 en CIS 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 5.2.0
Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 6.2.0
Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 6.2.0
Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 9.3.0
Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 6.3.0
Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 6.2.0
Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 6.2.0
Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 6.2.0
Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 8.2.0
Kubernetes-cluster mag geen bevoegde containers toestaan Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 9.2.0
Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 7.2.0
Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. AuditIfNotExists, uitgeschakeld 2.2.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0
Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. AuditIfNotExists, uitgeschakeld 2.0.0

Geautomatiseerd centraal beheer/toepassing/verificatie

Id: FedRAMP High CM-6 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsconfiguratie-instellingen afdwingen CMA_0249 - Beveiligingsconfiguratie-instellingen afdwingen Handmatig, uitgeschakeld 1.1.0
Naleving van cloudserviceproviders beheren CMA_0290 - Naleving van cloudserviceproviders beheren Handmatig, uitgeschakeld 1.1.0
Diagnostische gegevens van het systeem weergeven en configureren CMA_0544 - Diagnostische gegevens van het systeem weergeven en configureren Handmatig, uitgeschakeld 1.1.0

Minste functionaliteit

Id: FedRAMP High CM-7 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3

Inventarisatie van informatiesysteemonderdelen

Id: FedRAMP High CM-8 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een gegevensinventaris maken CMA_0096 - Een gegevensinventaris maken Handmatig, uitgeschakeld 1.1.0
Records bijhouden van de verwerking van persoonsgegevens CMA_0353 - Records van de verwerking van persoonsgegevens bijhouden Handmatig, uitgeschakeld 1.1.0

Updates tijdens installaties/verwijderingen

Id: FedRAMP High CM-8 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een gegevensinventaris maken CMA_0096 - Een gegevensinventaris maken Handmatig, uitgeschakeld 1.1.0
Records bijhouden van de verwerking van persoonsgegevens CMA_0353 - Records van de verwerking van persoonsgegevens bijhouden Handmatig, uitgeschakeld 1.1.0

Geautomatiseerde detectie van niet-geautoriseerde onderdelen

Id: FedRAMP High CM-8 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Detectie van netwerkapparaten inschakelen CMA_0220 - Detectie van netwerkapparaten inschakelen Handmatig, uitgeschakeld 1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie Handmatig, uitgeschakeld 1.1.0

Informatie over verantwoordelijkheden

Id: FedRAMP High CM-8 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een gegevensinventaris maken CMA_0096 - Een gegevensinventaris maken Handmatig, uitgeschakeld 1.1.0
Een assetinventaris maken en onderhouden CMA_0266 - Een inventaris van activa instellen en onderhouden Handmatig, uitgeschakeld 1.1.0

Configuratiebeheerplan

Id: FedRAMP High CM-9 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiliging van configuratieplannen maken CMA_C1233 - Beveiliging van configuratieplan maken Handmatig, uitgeschakeld 1.1.0
Basislijnconfiguraties ontwikkelen en onderhouden CMA_0153 : basislijnconfiguraties ontwikkelen en onderhouden Handmatig, uitgeschakeld 1.1.0
Configuratie-itemidentificatieplan ontwikkelen CMA_C1231 - Configuratie-itemidentificatieplan ontwikkelen Handmatig, uitgeschakeld 1.1.0
Configuratiebeheerplan ontwikkelen CMA_C1232 - Configuratiebeheerplan ontwikkelen Handmatig, uitgeschakeld 1.1.0
Een configuratiebeheerplan instellen en documenteer CMA_0264 - Een configuratiebeheerplan maken en documenteer Handmatig, uitgeschakeld 1.1.0
Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren CMA_0311 - Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren Handmatig, uitgeschakeld 1.1.0

Gebruiksbeperkingen voor software

Id: FedRAMP High CM-10 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Naleving van intellectuele-eigendomsrechten vereisen CMA_0432 - Naleving van intellectuele-eigendomsrechten vereisen Handmatig, uitgeschakeld 1.1.0
Gebruik van softwarelicenties bijhouden CMA_C1235 - Gebruik van softwarelicenties bijhouden Handmatig, uitgeschakeld 1.1.0

Opensource-software

Id: FedRAMP High CM-10 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Het gebruik van opensource-software beperken CMA_C1237 - Het gebruik van opensource-software beperken Handmatig, uitgeschakeld 1.1.0

Plannen voor onvoorziene gebeurtenissen

Beleid en procedures voor planning van onvoorziene gebeurtenissen

Id: FedRAMP High CP-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beleid en procedures voor planning voor onvoorziene gebeurtenissen controleren en bijwerken CMA_C1243 - Beleid en procedures voor het plannen van onvoorziene gebeurtenissen controleren en bijwerken Handmatig, uitgeschakeld 1.1.0

Plan voor onvoorziene gebeurtenissen

Id: FedRAMP High CP-2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Wijzigingen in plan voor onvoorziene gebeurtenissen communiceren CMA_C1249 - Wijzigingen in plan voor onvoorziene gebeurtenissen doorgeven Handmatig, uitgeschakeld 1.1.0
Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen CMA_0086 - Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen Handmatig, uitgeschakeld 1.1.0
Een plan voor bedrijfscontinuïteit en herstel na noodgevallen ontwikkelen en documenteer CMA_0146 - Een plan voor bedrijfscontinuïteit en herstel na noodgevallen ontwikkelen en documenteer Handmatig, uitgeschakeld 1.1.0
Plan voor onvoorziene gebeurtenissen ontwikkelen CMA_C1244 - Plan voor onvoorziene gebeurtenissen ontwikkelen Handmatig, uitgeschakeld 1.1.0
Beleid en procedures voor planning voor onvoorziene gebeurtenissen ontwikkelen CMA_0156 - Beleid en procedures voor onvoorziene planning ontwikkelen Handmatig, uitgeschakeld 1.1.0
Beleid en procedures distribueren CMA_0185 - Beleid en procedures distribueren Handmatig, uitgeschakeld 1.1.0
Plan voor onvoorziene gebeurtenissen controleren CMA_C1247 - Plan voor onvoorziene gebeurtenissen controleren Handmatig, uitgeschakeld 1.1.0
Plan voor onvoorziene gebeurtenissen bijwerken CMA_C1248 - Plan voor onvoorziene gebeurtenissen bijwerken Handmatig, uitgeschakeld 1.1.0

Id: FedRAMP High CP-2 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen CMA_0086 - Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen Handmatig, uitgeschakeld 1.1.0

Capaciteitsplanning

Id: FedRAMP High CP-2 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Capaciteitsplanning uitvoeren CMA_C1252 - Capaciteitsplanning uitvoeren Handmatig, uitgeschakeld 1.1.0

Essentiële missies/bedrijfsfuncties hervatten

Id: FedRAMP High CP-2 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Plannen voor hervatting van essentiële bedrijfsfuncties CMA_C1253 - Plannen voor hervatting van essentiële bedrijfsfuncties Handmatig, uitgeschakeld 1.1.0

Alle missies/bedrijfsfuncties hervatten

Id: FedRAMP High CP-2 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Alle missie- en bedrijfsfuncties hervatten CMA_C1254 - Alle missie- en bedrijfsfuncties hervatten Handmatig, uitgeschakeld 1.1.0

Essentiële missies/bedrijfsfuncties voortzetten

Id: FedRAMP High CP-2 (5) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Plannen voor continuering van essentiële bedrijfsfuncties CMA_C1255 - Plannen voor continuering van essentiële bedrijfsfuncties Handmatig, uitgeschakeld 1.1.0

Kritieke assets identificeren

Id: FedRAMP High CP-2 (8) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een bedrijfsimpactbeoordeling en evaluatie van toepassingskritiek uitvoeren CMA_0386 - Een bedrijfsimpactbeoordeling en een evaluatie van toepassingskritiek uitvoeren Handmatig, uitgeschakeld 1.1.0

Training voor onvoorziene gebeurtenissen

Id: FedRAMP High CP-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Training voor onvoorziene onvoorziene gegevens bieden CMA_0412 - Training voor onvoorziene onvoorziene gegevens bieden Handmatig, uitgeschakeld 1.1.0

Gesimuleerde gebeurtenissen

Id: FedRAMP High CP-3 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Gesimuleerde onvoorziene training opnemen CMA_C1260 - Gesimuleerde onvoorziene training opnemen Handmatig, uitgeschakeld 1.1.0

Plan voor onvoorziene gebeurtenissen testen

Id: FedRAMP High CP-4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Plan voor onvoorziene gebeurtenissen starten om corrigerende acties te testen CMA_C1263 - Een plan voor onvoorziene gebeurtenissen starten om corrigerende acties te testen Handmatig, uitgeschakeld 1.1.0
Bekijk de resultaten van het testen van het plan voor onvoorziene gebeurtenissen CMA_C1262 - Bekijk de resultaten van het testen van onvoorziene gebeurtenissen Handmatig, uitgeschakeld 1.1.0
Het plan voor bedrijfscontinuïteit en herstel na noodgevallen testen CMA_0509 - Het plan voor bedrijfscontinuïteit en herstel na noodgevallen testen Handmatig, uitgeschakeld 1.1.0

Id: FedRAMP High CP-4 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen CMA_0086 - Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen Handmatig, uitgeschakeld 1.1.0

Alternatieve verwerkingssite

Id: FedRAMP High CP-4 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Alternatieve verwerkingssitemogelijkheden evalueren CMA_C1266 - Alternatieve verwerkingssitemogelijkheden evalueren Handmatig, uitgeschakeld 1.1.0
Plan voor onvoorziene gebeurtenissen testen op een alternatieve verwerkingslocatie CMA_C1265 - Plan voor onvoorziene gebeurtenissen testen op een alternatieve verwerkingslocatie Handmatig, uitgeschakeld 1.1.0

Alternatieve opslagsite

Id: FedRAMP High CP-6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Zorg ervoor dat alternatieve opslagsitebeveiligingen gelijk zijn aan primaire site CMA_C1268: zorg ervoor dat alternatieve opslagsitebeveiligingen gelijk zijn aan de primaire site Handmatig, uitgeschakeld 1.1.0
Alternatieve opslagsite instellen om back-upgegevens op te slaan en op te halen CMA_C1267 : alternatieve opslagsite instellen om back-upgegevens op te slaan en op te halen Handmatig, uitgeschakeld 1.1.0
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. Controle, uitgeschakeld 1.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. Controle, uitgeschakeld 1.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. Controle, uitgeschakeld 1.0.1
Geografisch redundante opslag moet zijn ingeschakeld voor opslagaccounts Georedundantie gebruiken om maximaal beschikbare toepassingen te maken Controle, uitgeschakeld 1.0.0
Geografisch redundante back-up op de lange termijn moet zijn ingeschakeld voor Azure SQL Databases Dit beleid controleert alle Azure SQL Databases waarop een geografisch redundante back-up op lange termijn niet is ingeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0

Scheiding van primaire site

Id: FedRAMP High CP-6 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Afzonderlijke alternatieve en primaire opslagsites maken CMA_C1269 - Afzonderlijke alternatieve en primaire opslagsites maken Handmatig, uitgeschakeld 1.1.0
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. Controle, uitgeschakeld 1.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. Controle, uitgeschakeld 1.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. Controle, uitgeschakeld 1.0.1
Geografisch redundante opslag moet zijn ingeschakeld voor opslagaccounts Georedundantie gebruiken om maximaal beschikbare toepassingen te maken Controle, uitgeschakeld 1.0.0
Geografisch redundante back-up op de lange termijn moet zijn ingeschakeld voor Azure SQL Databases Dit beleid controleert alle Azure SQL Databases waarop een geografisch redundante back-up op lange termijn niet is ingeschakeld. AuditIfNotExists, uitgeschakeld 2.0.0

Beoogde hersteltijd/-punt

Id: FedRAMP High CP-6 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een alternatieve opslagsite instellen die herstelbewerkingen faciliteert CMA_C1270 : alternatieve opslagsite instellen waarmee herstelbewerkingen mogelijk worden gemaakt Handmatig, uitgeschakeld 1.1.0

Toegankelijkheid

Id: FedRAMP High CP-6 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Potentiële problemen op een alternatieve opslagsite identificeren en beperken CMA_C1271 : potentiële problemen op een alternatieve opslagsite identificeren en beperken Handmatig, uitgeschakeld 1.1.0

Alternatieve verwerkingssite

Id: FedRAMP High CP-7 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Virtuele machines controleren waarop geen herstel na noodgevallen is geconfigureerd Controleer virtuele machines waarop herstel na noodgevallen niet is geconfigureerd. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen. auditIfNotExists 1.0.0
Een alternatieve verwerkingssite tot stand brengen CMA_0262 - Een alternatieve verwerkingssite tot stand brengen Handmatig, uitgeschakeld 1.1.0

Scheiding van primaire site

Id: FedRAMP High CP-7 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een alternatieve verwerkingssite tot stand brengen CMA_0262 - Een alternatieve verwerkingssite tot stand brengen Handmatig, uitgeschakeld 1.1.0

Toegankelijkheid

Id: FedRAMP High CP-7 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een alternatieve verwerkingssite tot stand brengen CMA_0262 - Een alternatieve verwerkingssite tot stand brengen Handmatig, uitgeschakeld 1.1.0

Prioriteit van service

Id: FedRAMP High CP-7 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een alternatieve verwerkingssite tot stand brengen CMA_0262 - Een alternatieve verwerkingssite tot stand brengen Handmatig, uitgeschakeld 1.1.0
Vereisten instellen voor internetproviders CMA_0278 - Vereisten instellen voor internetproviders Handmatig, uitgeschakeld 1.1.0

Voorbereiding voor gebruik

Id: FedRAMP High CP-7 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Alternatieve verwerkingssite voorbereiden voor gebruik als operationele site CMA_C1278 - Alternatieve verwerkingssite voorbereiden voor gebruik als operationele site Handmatig, uitgeschakeld 1.1.0

Prioriteit van servicebepalingen

Id: FedRAMP High CP-8 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Vereisten instellen voor internetproviders CMA_0278 - Vereisten instellen voor internetproviders Handmatig, uitgeschakeld 1.1.0

Gegevens- en systeemback-up

Id: FedRAMP High CP-9 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Backup moet zijn ingeschakeld voor virtuele machines Zorg ervoor dat uw virtuele Azure-machines worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. AuditIfNotExists, uitgeschakeld 3.0.0
Back-up van documentatie voor informatiesysteem uitvoeren CMA_C1289 - Back-up van documentatie voor informatiesystemen uitvoeren Handmatig, uitgeschakeld 1.1.0
Back-upbeleid en -procedures instellen CMA_0268 - Back-upbeleid en -procedures instellen Handmatig, uitgeschakeld 1.1.0
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. Controle, uitgeschakeld 1.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. Controle, uitgeschakeld 1.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. Controle, uitgeschakeld 1.0.1
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0
Voor sleutelkluizen moet verwijderingsbeveiliging zijn ingeschakeld Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies. U kunt permanent gegevensverlies voorkomen door beveiliging tegen opschonen en voorlopig verwijderen in te schakelen. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. Houd er rekening mee dat sleutelkluizen die na 1 september 2019 zijn gemaakt, standaard voorlopig verwijderen zijn ingeschakeld. Controleren, Weigeren, Uitgeschakeld 2.1.0
Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen Als u een sleutelkluis verwijdert zonder dat de functie voor voorlopig verwijderen is ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis permanent verwijderd. Onbedoeld verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Met voorlopig verwijderen kunt u een per ongeluk verwijderde sleutelkluis herstellen voor een configureerbare bewaarperiode. Controleren, Weigeren, Uitgeschakeld 3.0.0

Afzonderlijke opslag voor kritieke informatie

Id: FedRAMP High CP-9 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Back-upgegevens afzonderlijk opslaan CMA_C1293 - Back-upgegevens afzonderlijk opslaan Handmatig, uitgeschakeld 1.1.0

Overdracht naar alternatieve opslagsite

Id: FedRAMP High CP-9 (5) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Back-upgegevens overdragen naar een alternatieve opslagsite CMA_C1294 - Back-upgegevens overdragen naar een alternatieve opslagsite Handmatig, uitgeschakeld 1.1.0

Herstel en reconstitutie van informatiesysteem

Id: FedRAMP High CP-10 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Resources herstellen en reconstitueren na eventuele onderbrekingen CMA_C1295 - Resources herstellen en reconstitueren na eventuele onderbrekingen Handmatig, uitgeschakeld 1.1.1

Transactieherstel

Id: FedRAMP High CP-10 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Herstel op basis van transacties implementeren CMA_C1296 - Herstel op basis van transacties implementeren Handmatig, uitgeschakeld 1.1.0

Herstellen binnen een bepaalde periode

Id: FedRAMP High CP-10 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Resources herstellen naar operationele status CMA_C1297 - Resources herstellen naar operationele status Handmatig, uitgeschakeld 1.1.1

Identificatie en verificatie

Beleid en procedures voor identificatie en verificatie

Id: FedRAMP High IA-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Identificatie- en verificatiebeleid en -procedures controleren en bijwerken CMA_C1299 - Identificatie- en verificatiebeleid en -procedures controleren en bijwerken Handmatig, uitgeschakeld 1.1.0

Identificatie en verificatie (organisatiegebruikers)

Id: FedRAMP High IA-2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0
App Service-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth Controleren, Weigeren, Uitgeschakeld 1.1.0
Uniekheid van gebruikers afdwingen CMA_0250 - Uniekheid van gebruikers afdwingen Handmatig, uitgeschakeld 1.1.0
Functie-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren Controleren, Weigeren, Uitgeschakeld 1.1.0
Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten CMA_0507 - Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten Handmatig, uitgeschakeld 1.1.0

Netwerktoegang tot bevoegde accounts

Id: FedRAMP High IA-2 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Biometrische verificatiemechanismen aannemen CMA_0005 - Biometrische verificatiemechanismen aannemen Handmatig, uitgeschakeld 1.1.0

Netwerktoegang tot niet-bevoegde accounts

Id: FedRAMP High IA-2 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Biometrische verificatiemechanismen aannemen CMA_0005 - Biometrische verificatiemechanismen aannemen Handmatig, uitgeschakeld 1.1.0

Lokale toegang tot bevoegde accounts

Id: FedRAMP High IA-2 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Biometrische verificatiemechanismen aannemen CMA_0005 - Biometrische verificatiemechanismen aannemen Handmatig, uitgeschakeld 1.1.0

Groepsverificatie

Id: FedRAMP High IA-2 (5) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Het gebruik van afzonderlijke verificators vereisen CMA_C1305 : het gebruik van afzonderlijke verificators vereisen Handmatig, uitgeschakeld 1.1.0

Externe toegang - Afzonderlijk apparaat

Id: FedRAMP High IA-2 (11) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Biometrische verificatiemechanismen aannemen CMA_0005 - Biometrische verificatiemechanismen aannemen Handmatig, uitgeschakeld 1.1.0
Netwerkapparaten identificeren en verifiëren CMA_0296 - Netwerkapparaten identificeren en verifiëren Handmatig, uitgeschakeld 1.1.0

Acceptatie van Piv-referenties

Id: FedRAMP High IA-2 (12) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten CMA_0507 - Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten Handmatig, uitgeschakeld 1.1.0

Id-beheer

Id: FedRAMP High IA-4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0
App Service-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Systeem-id's toewijzen CMA_0018 - Systeem-id's toewijzen Handmatig, uitgeschakeld 1.1.0
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth Controleren, Weigeren, Uitgeschakeld 1.1.0
Functie-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Hergebruik van id's voorkomen voor de gedefinieerde periode CMA_C1314 : hergebruik van id's voorkomen voor de gedefinieerde periode Handmatig, uitgeschakeld 1.1.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren Controleren, Weigeren, Uitgeschakeld 1.1.0

Gebruikersstatus identificeren

Id: FedRAMP High IA-4 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
De status van afzonderlijke gebruikers identificeren CMA_C1316 - Status van afzonderlijke gebruikers identificeren Handmatig, uitgeschakeld 1.1.0

Verificatorbeheer

Id: FedRAMP High IA-5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben AuditIfNotExists, uitgeschakeld 3.1.0
Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleuteling Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleuteling AuditIfNotExists, uitgeschakeld 2.0.0
Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, uitgeschakeld 3.2.0
Certificaten moeten de opgegeven maximale geldigheidsperiode hebben Beheer de nalevingsvereisten van uw organisatie door de maximale tijdsduur op te geven waarbij een certificaat binnen uw sleutel kluis geldig mag zijn. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 2.2.1
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 3.1.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.2.0
Authenticatortypen en -processen tot stand brengen CMA_0267 - Authenticatortypen en -processen tot stand brengen Handmatig, uitgeschakeld 1.1.0
Procedures instellen voor initiële verificatordistributie CMA_0276 - Procedures instellen voor initiële verificatordistributie Handmatig, uitgeschakeld 1.1.0
Training implementeren voor het beveiligen van verificators CMA_0329 - Training implementeren voor het beveiligen van verificators Handmatig, uitgeschakeld 1.1.0
Key Vault-sleutels moeten een vervaldatum hebben Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen. Controleren, Weigeren, Uitgeschakeld 1.0.2
Key Vault-geheimen moeten een vervaldatum hebben Geheimen moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het wordt aanbevolen om vervaldatums voor geheimen in te stellen. Controleren, Weigeren, Uitgeschakeld 1.0.2
Levensduur en hergebruik van verificator beheren CMA_0355 - Levensduur van verificator beheren en opnieuw gebruiken Handmatig, uitgeschakeld 1.1.0
Verificators beheren CMA_C1321 - Verificators beheren Handmatig, uitgeschakeld 1.1.0
Verificators vernieuwen CMA_0425 - Verificators vernieuwen Handmatig, uitgeschakeld 1.1.0
Verificators opnieuw toewijzen voor gewijzigde groepen en accounts CMA_0426 - Verificators opnieuw aanvragen voor gewijzigde groepen en accounts Handmatig, uitgeschakeld 1.1.0
Identiteit verifiëren voordat verificators worden gedistribueerd CMA_0538 - Identiteit verifiëren voordat verificators worden gedistribueerd Handmatig, uitgeschakeld 1.1.0

Verificatie op basis van een wachtwoord

Id: FedRAMP High IA-5 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. wijzigen 4.1.0
Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben AuditIfNotExists, uitgeschakeld 3.1.0
Windows-machines controleren die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows-machines die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan. De standaardwaarde voor unieke wachtwoorden is 24 AuditIfNotExists, uitgeschakeld 2.1.0
Windows-computers controleren waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de maximale wachtwoordduur is 70 dagen AuditIfNotExists, uitgeschakeld 2.1.0
Windows-computers controleren waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de minimale wachtwoordduur is 1 dag AuditIfNotExists, uitgeschakeld 2.1.0
Windows-machines controleren waarop de instelling voor wachtwoordcomplexiteit niet is ingeschakeld Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines de instelling voor wachtwoordcomplexiteit niet hebben ingeschakeld AuditIfNotExists, uitgeschakeld 2.0.0
Windows-computers controleren die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens. De standaardwaarde voor de minimale wachtwoordlengte is 14 tekens AuditIfNotExists, uitgeschakeld 2.1.0
Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleuteling Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleuteling AuditIfNotExists, uitgeschakeld 2.0.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 3.1.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. deployIfNotExists 1.2.0
Vereisten voor beveiligingssterkte documenteer in overnamecontracten CMA_0203 - Vereisten voor beveiligingssterkte documenteer in overnamecontracten Handmatig, uitgeschakeld 1.1.0
Een wachtwoordbeleid instellen CMA_0256 - Een wachtwoordbeleid instellen Handmatig, uitgeschakeld 1.1.0
Parameters implementeren voor gemoraliseerde geheime verificatoren CMA_0321 - Parameters implementeren voor met mijmorized geheime verificatoren Handmatig, uitgeschakeld 1.1.0
Wachtwoorden beveiligen met versleuteling CMA_0408 - Wachtwoorden beveiligen met versleuteling Handmatig, uitgeschakeld 1.1.0

Verificatie op basis van Pki

Id: FedRAMP High IA-5 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Verificators en identiteiten dynamisch binden CMA_0035 - Bind authenticators en identiteiten dynamisch Handmatig, uitgeschakeld 1.1.0
Authenticatortypen en -processen tot stand brengen CMA_0267 - Authenticatortypen en -processen tot stand brengen Handmatig, uitgeschakeld 1.1.0
Parameters instellen voor het zoeken van geheime verificators en verificatoren CMA_0274 - Parameters instellen voor het zoeken naar geheime verificators en verificatoren Handmatig, uitgeschakeld 1.1.0
Procedures instellen voor initiële verificatordistributie CMA_0276 - Procedures instellen voor initiële verificatordistributie Handmatig, uitgeschakeld 1.1.0
Geverifieerde identiteiten toewijzen aan personen CMA_0372 - Geverifieerde identiteiten toewijzen aan personen Handmatig, uitgeschakeld 1.1.0
Toegang tot persoonlijke sleutels beperken CMA_0445 - Toegang tot persoonlijke sleutels beperken Handmatig, uitgeschakeld 1.1.0
Identiteit verifiëren voordat verificators worden gedistribueerd CMA_0538 - Identiteit verifiëren voordat verificators worden gedistribueerd Handmatig, uitgeschakeld 1.1.0

Persoonlijke of vertrouwde registratie van derden

Id: FedRAMP High IA-5 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Verificators distribueren CMA_0184 - Verificators distribueren Handmatig, uitgeschakeld 1.1.0

Geautomatiseerde ondersteuning voor bepaling van wachtwoordsterkte

Id: FedRAMP High IA-5 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Vereisten voor beveiligingssterkte documenteer in overnamecontracten CMA_0203 - Vereisten voor beveiligingssterkte documenteer in overnamecontracten Handmatig, uitgeschakeld 1.1.0
Een wachtwoordbeleid instellen CMA_0256 - Een wachtwoordbeleid instellen Handmatig, uitgeschakeld 1.1.0
Parameters implementeren voor gemoraliseerde geheime verificatoren CMA_0321 - Parameters implementeren voor met mijmorized geheime verificatoren Handmatig, uitgeschakeld 1.1.0

Bescherming van verificators

Id: FedRAMP High IA-5 (6) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Ervoor zorgen dat geautoriseerde gebruikers de opgegeven verificators beveiligen CMA_C1339 : ervoor zorgen dat geautoriseerde gebruikers de opgegeven verificators beveiligen Handmatig, uitgeschakeld 1.1.0

Geen ingesloten niet-versleutelde statische verificators

Id: FedRAMP High IA-5 (7) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Zorg ervoor dat er geen niet-versleutelde statische verificators zijn CMA_C1340 - Zorg ervoor dat er geen niet-versleutelde statische verificators zijn Handmatig, uitgeschakeld 1.1.0

Verificatie op basis van hardwaretoken

Id: FedRAMP High IA-5 (11) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voldoen aan de kwaliteitsvereisten voor tokens CMA_0487 - Voldoen aan de kwaliteitsvereisten voor tokens Handmatig, uitgeschakeld 1.1.0

Vervaldatum van verificators in cache

Id: FedRAMP High IA-5 (13) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Vervaldatum van verificators in cache afdwingen CMA_C1343 - Vervaldatum van verificators in cache afdwingen Handmatig, uitgeschakeld 1.1.0

Feedback over Authenticator

Id: FedRAMP High IA-6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Informatie over feedback verbergen tijdens het verificatieproces CMA_C1344 - Informatie over feedback verbergen tijdens het verificatieproces Handmatig, uitgeschakeld 1.1.0

Verificatie van cryptografische module

Id: FedRAMP High IA-7 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Verifiëren bij cryptografische module CMA_0021 - Verifiëren bij cryptografische module Handmatig, uitgeschakeld 1.1.0

Identificatie en verificatie (niet-organisatiegebruikers)

Id: FedRAMP High IA-8 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-organisatiegebruikers identificeren en verifiëren CMA_C1346 : niet-organisatiegebruikers identificeren en verifiëren Handmatig, uitgeschakeld 1.1.0

Acceptatie van piv-referenties van andere agentschappen

Id: FedRAMP High IA-8 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
PIV-referenties accepteren CMA_C1347 - PIV-referenties accepteren Handmatig, uitgeschakeld 1.1.0

Acceptatie van referenties van derden

Id: FedRAMP High IA-8 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Alleen door FICAM goedgekeurde referenties van derden accepteren CMA_C1348 - Alleen door FICAM goedgekeurde referenties van derden accepteren Handmatig, uitgeschakeld 1.1.0

Gebruik van door Ficam goedgekeurde producten

Id: FedRAMP High IA-8 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Ficam-goedgekeurde resources gebruiken om referenties van derden te accepteren CMA_C1349 - Ficam-goedgekeurde resources gebruiken om referenties van derden te accepteren Handmatig, uitgeschakeld 1.1.0

Gebruik van door Ficam uitgegeven profielen

Id: FedRAMP High IA-8 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voldoen aan door FICAM uitgegeven profielen CMA_C1350 - Voldoen aan door FICAM uitgegeven profielen Handmatig, uitgeschakeld 1.1.0

Incidentrespons

Beleid en procedures voor incidentrespons

Id: FedRAMP High IR-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beleid en procedures voor incidentrespons controleren en bijwerken CMA_C1352 - Beleid en procedures voor het reageren op incidenten controleren en bijwerken Handmatig, uitgeschakeld 1.1.0

Training voor het reageren op incidenten

Id: FedRAMP High IR-2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Training voor overloop van gegevens bieden CMA_0413 - Informatie overlooptraining bieden Handmatig, uitgeschakeld 1.1.0

Gesimuleerde gebeurtenissen

Id: FedRAMP High IR-2 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Gesimuleerde gebeurtenissen opnemen in training voor reacties op incidenten CMA_C1356 - Gesimuleerde gebeurtenissen opnemen in training voor reactie op incidenten Handmatig, uitgeschakeld 1.1.0

Geautomatiseerde trainingsomgevingen

Id: FedRAMP High IR-2 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Geautomatiseerde trainingsomgeving gebruiken CMA_C1357 - Geautomatiseerde trainingsomgeving gebruiken Handmatig, uitgeschakeld 1.1.0

Tests voor het reageren op incidenten

Id: FedRAMP High IR-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Incidentresponstests uitvoeren CMA_0060 : het testen van incidentreacties uitvoeren Handmatig, uitgeschakeld 1.1.0
Een informatiebeveiligingsprogramma opzetten CMA_0263 - Een informatiebeveiligingsprogramma instellen Handmatig, uitgeschakeld 1.1.0
Simulatieaanvallen uitvoeren CMA_0486 - Simulatieaanvallen uitvoeren Handmatig, uitgeschakeld 1.1.0

Id: FedRAMP High IR-3 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Incidentresponstests uitvoeren CMA_0060 : het testen van incidentreacties uitvoeren Handmatig, uitgeschakeld 1.1.0
Een informatiebeveiligingsprogramma opzetten CMA_0263 - Een informatiebeveiligingsprogramma instellen Handmatig, uitgeschakeld 1.1.0
Simulatieaanvallen uitvoeren CMA_0486 - Simulatieaanvallen uitvoeren Handmatig, uitgeschakeld 1.1.0

Incidentafhandeling

Id: FedRAMP High IR-4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Informatiebeveiligingsevenementen evalueren CMA_0013 - Gegevensbeveiligingsgebeurtenissen evalueren Handmatig, uitgeschakeld 1.1.0
Azure Defender voor App Service moet zijn ingeschakeld Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Key Vault moet zijn ingeschakeld Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen CMA_0086 - Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen Handmatig, uitgeschakeld 1.1.0
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Beveiligingsbeveiliging ontwikkelen CMA_0161 - Beveiligingsmaatregelen ontwikkelen Handmatig, uitgeschakeld 1.1.0
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. AuditIfNotExists, uitgeschakeld 1.2.0
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. AuditIfNotExists, uitgeschakeld 2.1.0
Netwerkbeveiliging inschakelen CMA_0238 - Netwerkbeveiliging inschakelen Handmatig, uitgeschakeld 1.1.0
Verontreinigde informatie uitroeien CMA_0253 - Verontreinigde informatie uitroeien Handmatig, uitgeschakeld 1.1.0
Acties uitvoeren als reactie op overloop van gegevens CMA_0281 - Acties uitvoeren als reactie op gegevenslekken Handmatig, uitgeschakeld 1.1.0
Incidentafhandeling implementeren CMA_0318 - Incidentafhandeling implementeren Handmatig, uitgeschakeld 1.1.0
Plan voor reactie op incidenten onderhouden CMA_0352 - Plan voor reactie op incidenten onderhouden Handmatig, uitgeschakeld 1.1.0
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage moet zijn ingeschakeld Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. AuditIfNotExists, uitgeschakeld 1.0.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. AuditIfNotExists, uitgeschakeld 1.0.1
Beperkte gebruikers weergeven en onderzoeken CMA_0545 - Beperkte gebruikers weergeven en onderzoeken Handmatig, uitgeschakeld 1.1.0

Geautomatiseerde processen voor incidentafhandeling

Id: FedRAMP High IR-4 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Netwerkbeveiliging inschakelen CMA_0238 - Netwerkbeveiliging inschakelen Handmatig, uitgeschakeld 1.1.0
Incidentafhandeling implementeren CMA_0318 - Incidentafhandeling implementeren Handmatig, uitgeschakeld 1.1.0

Dynamische herconfiguratie

Id: FedRAMP High IR-4 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Dynamische herconfiguratie van door de klant geïmplementeerde resources opnemen CMA_C1364 - Dynamische herconfiguratie van door de klant geïmplementeerde resources opnemen Handmatig, uitgeschakeld 1.1.0

Continuïteit van bewerkingen

Id: FedRAMP High IR-4 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Klassen incidenten en acties identificeren die zijn uitgevoerd CMA_C1365 - Klassen incidenten en acties identificeren die zijn uitgevoerd Handmatig, uitgeschakeld 1.1.0

Informatiecorrelatie

Id: FedRAMP High IR-4 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Incidentafhandeling implementeren CMA_0318 - Incidentafhandeling implementeren Handmatig, uitgeschakeld 1.1.0

Insider-bedreigingen - specifieke mogelijkheden

Id: FedRAMP High IR-4 (6) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Mogelijkheid voor het verwerken van incidenten implementeren CMA_C1367 - Mogelijkheid voor het afhandelen van incidenten implementeren Handmatig, uitgeschakeld 1.1.0

Correlatie met externe organisaties

Id: FedRAMP High IR-4 (8) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Coördineren met externe organisaties om het perspectief van meerdere organisaties te bereiken CMA_C1368 - Coördineren met externe organisaties om het perspectief van meerdere organisaties te bereiken Handmatig, uitgeschakeld 1.1.0

Incidentbewaking

Id: FedRAMP High IR-5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor App Service moet zijn ingeschakeld Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Key Vault moet zijn ingeschakeld Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. AuditIfNotExists, uitgeschakeld 1.2.0
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. AuditIfNotExists, uitgeschakeld 2.1.0
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage moet zijn ingeschakeld Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. AuditIfNotExists, uitgeschakeld 1.0.0
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. AuditIfNotExists, uitgeschakeld 1.0.1

Geautomatiseerde rapportage

Id: FedRAMP High IR-6 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Documentbeveiligingsbewerkingen CMA_0202 - Documentbeveiligingsbewerkingen Handmatig, uitgeschakeld 1.1.0

Ondersteuning voor het reageren op incidenten

Id: FedRAMP High IR-7 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Documentbeveiligingsbewerkingen CMA_0202 - Documentbeveiligingsbewerkingen Handmatig, uitgeschakeld 1.1.0

Automatiseringsondersteuning voor beschikbaarheid van informatie/ondersteuning

Id: FedRAMP High IR-7 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Netwerkbeveiliging inschakelen CMA_0238 - Netwerkbeveiliging inschakelen Handmatig, uitgeschakeld 1.1.0
Verontreinigde informatie uitroeien CMA_0253 - Verontreinigde informatie uitroeien Handmatig, uitgeschakeld 1.1.0
Acties uitvoeren als reactie op overloop van gegevens CMA_0281 - Acties uitvoeren als reactie op gegevenslekken Handmatig, uitgeschakeld 1.1.0
Incidentafhandeling implementeren CMA_0318 - Incidentafhandeling implementeren Handmatig, uitgeschakeld 1.1.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beperkte gebruikers weergeven en onderzoeken CMA_0545 - Beperkte gebruikers weergeven en onderzoeken Handmatig, uitgeschakeld 1.1.0

Coördinatie met externe providers

Id: FedRAMP High IR-7 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Relatie tot stand brengen tussen de mogelijkheid van reactie op incidenten en externe providers CMA_C1376 - Relatie tot stand brengen tussen de mogelijkheid voor het reageren op incidenten en externe providers Handmatig, uitgeschakeld 1.1.0
Personeel voor incidentrespons identificeren CMA_0301 - Personeel voor incidentrespons identificeren Handmatig, uitgeschakeld 1.1.0

Plan voor het reageren op incidenten

Id: FedRAMP High IR-8 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Informatiebeveiligingsevenementen evalueren CMA_0013 - Gegevensbeveiligingsgebeurtenissen evalueren Handmatig, uitgeschakeld 1.1.0
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Incidentafhandeling implementeren CMA_0318 - Incidentafhandeling implementeren Handmatig, uitgeschakeld 1.1.0
Records voor gegevenslekken onderhouden CMA_0351 - Records voor gegevenslekken onderhouden Handmatig, uitgeschakeld 1.1.0
Plan voor reactie op incidenten onderhouden CMA_0352 - Plan voor reactie op incidenten onderhouden Handmatig, uitgeschakeld 1.1.0
Plan voor reactie op incidenten beveiligen CMA_0405 - Plan voor het reageren op incidenten beveiligen Handmatig, uitgeschakeld 1.1.0

Reageren op lekkage van gegevens

Id: FedRAMP High IR-9 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Waarschuwingspersoneel bij overloop van informatie CMA_0007 - Waarschuwingspersoneel bij overloop van informatie Handmatig, uitgeschakeld 1.1.0
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Verontreinigde informatie uitroeien CMA_0253 - Verontreinigde informatie uitroeien Handmatig, uitgeschakeld 1.1.0
Acties uitvoeren als reactie op overloop van gegevens CMA_0281 - Acties uitvoeren als reactie op gegevenslekken Handmatig, uitgeschakeld 1.1.0
Verontreinigde systemen en onderdelen identificeren CMA_0300 - Verontreinigde systemen en onderdelen identificeren Handmatig, uitgeschakeld 1.1.0
Overloopgegevens identificeren CMA_0303 - Informatie overloop identificeren Handmatig, uitgeschakeld 1.1.0
Informatielekken isoleren CMA_0346 - Informatielekken isoleren Handmatig, uitgeschakeld 1.1.0

Verantwoordelijk personeel

Id: FedRAMP High IR-9 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Personeel voor incidentrespons identificeren CMA_0301 - Personeel voor incidentrespons identificeren Handmatig, uitgeschakeld 1.1.0

Training

Id: FedRAMP High IR-9 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Training voor overloop van gegevens bieden CMA_0413 - Informatie overlooptraining bieden Handmatig, uitgeschakeld 1.1.0

Bewerkingen na overloop

Id: FedRAMP High IR-9 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Overloopreactieprocedures ontwikkelen CMA_0162 - Procedures voor overlooprespons ontwikkelen Handmatig, uitgeschakeld 1.1.0

Blootstelling aan onbevoegd personeel

Id: FedRAMP High IR-9 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsbeveiliging ontwikkelen CMA_0161 - Beveiligingsmaatregelen ontwikkelen Handmatig, uitgeschakeld 1.1.0

Onderhoud

Beleid en procedures voor systeemonderhoud

Id: FedRAMP High MA-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beleid en procedures voor systeemonderhoud controleren en bijwerken CMA_C1395 - Beleid en procedures voor systeemonderhoud controleren en bijwerken Handmatig, uitgeschakeld 1.1.0

Beheerd onderhoud

Id: FedRAMP High MA-2 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Onderhouds- en reparatieactiviteiten beheren CMA_0080 - Onderhouds- en reparatieactiviteiten beheren Handmatig, uitgeschakeld 1.1.0
Een mechanisme voor het opschonen van media gebruiken CMA_0208 - Een mechanisme voor media-opschoning gebruiken Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0
Niet-lokaal onderhoud en diagnostische activiteiten beheren CMA_0364 - Niet-lokaal onderhoud en diagnostische activiteiten beheren Handmatig, uitgeschakeld 1.1.0

Geautomatiseerde onderhoudsactiviteiten

Id: FedRAMP High MA-2 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Externe onderhoudsactiviteiten automatiseren CMA_C1402 - Externe onderhoudsactiviteiten automatiseren Handmatig, uitgeschakeld 1.1.0
Volledige records van externe onderhoudsactiviteiten produceren CMA_C1403 - Volledige records van externe onderhoudsactiviteiten produceren Handmatig, uitgeschakeld 1.1.0

Hulpprogramma's voor onderhoud

Id: FedRAMP High MA-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Onderhouds- en reparatieactiviteiten beheren CMA_0080 - Onderhouds- en reparatieactiviteiten beheren Handmatig, uitgeschakeld 1.1.0
Niet-lokaal onderhoud en diagnostische activiteiten beheren CMA_0364 - Niet-lokaal onderhoud en diagnostische activiteiten beheren Handmatig, uitgeschakeld 1.1.0

Hulpprogramma's controleren

Id: FedRAMP High MA-3 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Onderhouds- en reparatieactiviteiten beheren CMA_0080 - Onderhouds- en reparatieactiviteiten beheren Handmatig, uitgeschakeld 1.1.0
Niet-lokaal onderhoud en diagnostische activiteiten beheren CMA_0364 - Niet-lokaal onderhoud en diagnostische activiteiten beheren Handmatig, uitgeschakeld 1.1.0

Media inspecteren

Id: FedRAMP High MA-3 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Onderhouds- en reparatieactiviteiten beheren CMA_0080 - Onderhouds- en reparatieactiviteiten beheren Handmatig, uitgeschakeld 1.1.0
Niet-lokaal onderhoud en diagnostische activiteiten beheren CMA_0364 - Niet-lokaal onderhoud en diagnostische activiteiten beheren Handmatig, uitgeschakeld 1.1.0

Onbevoegd verwijderen voorkomen

Id: FedRAMP High MA-3 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Onderhouds- en reparatieactiviteiten beheren CMA_0080 - Onderhouds- en reparatieactiviteiten beheren Handmatig, uitgeschakeld 1.1.0
Een mechanisme voor het opschonen van media gebruiken CMA_0208 - Een mechanisme voor media-opschoning gebruiken Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0
Niet-lokaal onderhoud en diagnostische activiteiten beheren CMA_0364 - Niet-lokaal onderhoud en diagnostische activiteiten beheren Handmatig, uitgeschakeld 1.1.0

Niet-lokaal onderhoud

Id: FedRAMP High MA-4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-lokaal onderhoud en diagnostische activiteiten beheren CMA_0364 - Niet-lokaal onderhoud en diagnostische activiteiten beheren Handmatig, uitgeschakeld 1.1.0

Niet-lokaal onderhoud document

Id: FedRAMP High MA-4 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-lokaal onderhoud en diagnostische activiteiten beheren CMA_0364 - Niet-lokaal onderhoud en diagnostische activiteiten beheren Handmatig, uitgeschakeld 1.1.0

Vergelijkbare beveiliging/opschoning

Id: FedRAMP High MA-4 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Alle niet-lokale onderhoud uitvoeren CMA_C1417 - Alle niet-lokale onderhoud uitvoeren Handmatig, uitgeschakeld 1.1.0

Cryptografische beveiliging

Id: FedRAMP High MA-4 (6) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Cryptografische mechanismen implementeren CMA_C1419 - Cryptografische mechanismen implementeren Handmatig, uitgeschakeld 1.1.0

Onderhoudspersoneel

Id: FedRAMP High MA-5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Personeel aanwijzen voor niet-geautoriseerde onderhoudsactiviteiten CMA_C1422 - Personeel aanwijzen om toezicht te houden op niet-geautoriseerde onderhoudsactiviteiten Handmatig, uitgeschakeld 1.1.0
Lijst met geautoriseerd onderhoud op afstand onderhouden CMA_C1420 - Lijst met geautoriseerd onderhoud op afstand onderhouden Handmatig, uitgeschakeld 1.1.0
Onderhoudspersoneel beheren CMA_C1421 - Onderhoudspersoneel beheren Handmatig, uitgeschakeld 1.1.0

Personen zonder de juiste toegang

Id: FedRAMP High MA-5 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een mechanisme voor het opschonen van media gebruiken CMA_0208 - Een mechanisme voor media-opschoning gebruiken Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0

Tijdig onderhoud

Id: FedRAMP High MA-6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Tijdig onderhoud bieden CMA_C1425 - Tijdig onderhoud bieden Handmatig, uitgeschakeld 1.1.0

Mediabeveiliging

Beleid en procedures voor mediabeveiliging

Id: FedRAMP High MP-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsbeleid en -procedures voor media controleren en bijwerken CMA_C1427 - Beveiligingsbeleid en -procedures voor media controleren en bijwerken Handmatig, uitgeschakeld 1.1.0

Mediatoegang

Id: FedRAMP High MP-2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0

Mediamarkering

Id: FedRAMP High MP-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0

Media-opslag

Id: FedRAMP High MP-4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een mechanisme voor het opschonen van media gebruiken CMA_0208 - Een mechanisme voor media-opschoning gebruiken Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0

Mediatransport

Id: FedRAMP High MP-5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0
Het vervoer van assets beheren CMA_0370 - Het vervoer van assets beheren Handmatig, uitgeschakeld 1.1.0

Cryptografische beveiliging

Id: FedRAMP High MP-5 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0
Het vervoer van assets beheren CMA_0370 - Het vervoer van assets beheren Handmatig, uitgeschakeld 1.1.0

Media-opschoning

Id: FedRAMP High MP-6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een mechanisme voor het opschonen van media gebruiken CMA_0208 - Een mechanisme voor media-opschoning gebruiken Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0

Controleren/goedkeuren/bijhouden/document/verifiëren

Id: FedRAMP High MP-6 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een mechanisme voor het opschonen van media gebruiken CMA_0208 - Een mechanisme voor media-opschoning gebruiken Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0

Apparatuur testen

Id: FedRAMP High MP-6 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een mechanisme voor het opschonen van media gebruiken CMA_0208 - Een mechanisme voor media-opschoning gebruiken Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0

Mediagebruik

Id: FedRAMP High MP-7 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Het gebruik van draagbare opslagapparaten beheren CMA_0083 - Het gebruik van draagbare opslagapparaten beheren Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0
Mediagebruik beperken CMA_0450 - Mediagebruik beperken Handmatig, uitgeschakeld 1.1.0

Gebruik zonder eigenaar verbieden

Id: FedRAMP High MP-7 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Het gebruik van draagbare opslagapparaten beheren CMA_0083 - Het gebruik van draagbare opslagapparaten beheren Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0
Mediagebruik beperken CMA_0450 - Mediagebruik beperken Handmatig, uitgeschakeld 1.1.0

Fysieke en omgevingsbeveiliging

Beleid en procedures voor fysieke en milieubescherming

Id: FedRAMP High PE-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fysiek en omgevingsbeleid en procedures controleren en bijwerken CMA_C1446 - Fysieke en milieubeleidsregels en -procedures controleren en bijwerken Handmatig, uitgeschakeld 1.1.0

Autorisaties voor fysieke toegang

Id: FedRAMP High PE-2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fysieke toegang beheren CMA_0081 - Fysieke toegang beheren Handmatig, uitgeschakeld 1.1.0

Beheer van fysieke toegang

Id: FedRAMP High PE-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fysieke toegang beheren CMA_0081 - Fysieke toegang beheren Handmatig, uitgeschakeld 1.1.0
Een beheerproces voor fysieke sleutels definiëren CMA_0115 - Een beheerproces voor fysieke sleutels definiëren Handmatig, uitgeschakeld 1.1.0
Een assetinventaris maken en onderhouden CMA_0266 - Een inventaris van activa instellen en onderhouden Handmatig, uitgeschakeld 1.1.0
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden Handmatig, uitgeschakeld 1.1.0

Toegangsbeheer voor transmissiemedium

Id: FedRAMP High PE-4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fysieke toegang beheren CMA_0081 - Fysieke toegang beheren Handmatig, uitgeschakeld 1.1.0
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden Handmatig, uitgeschakeld 1.1.0

Toegangsbeheer voor uitvoerapparaten

Id: FedRAMP High PE-5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fysieke toegang beheren CMA_0081 - Fysieke toegang beheren Handmatig, uitgeschakeld 1.1.0
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden Handmatig, uitgeschakeld 1.1.0
De invoer, uitvoer, verwerking en opslag van gegevens beheren CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren Handmatig, uitgeschakeld 1.1.0

Inbraakalarmen / bewakingsapparatuur

Id: FedRAMP High PE-6 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een alarmsysteem installeren CMA_0338 - Een alarmsysteem installeren Handmatig, uitgeschakeld 1.1.0
Een beveiligd bewakingscamerasysteem beheren CMA_0354 - Een beveiligd bewakingscamerasysteem beheren Handmatig, uitgeschakeld 1.1.0

Bezoekerstoegangsrecords

Id: FedRAMP High PE-8 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fysieke toegang beheren CMA_0081 - Fysieke toegang beheren Handmatig, uitgeschakeld 1.1.0
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden Handmatig, uitgeschakeld 1.1.0

Noodverlichting

Id: FedRAMP High PE-12 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Automatische noodverlichting gebruiken CMA_0209 - Automatische noodverlichting gebruiken Handmatig, uitgeschakeld 1.1.0

Brandbeveiliging

Id: FedRAMP High PE-13 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden Handmatig, uitgeschakeld 1.1.0

Detectieapparaten/systemen

Id: FedRAMP High PE-13 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een methodologie voor penetratietests implementeren CMA_0306 - Een penetratietestmethodologie implementeren Handmatig, uitgeschakeld 1.1.0
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden Handmatig, uitgeschakeld 1.1.0
Simulatieaanvallen uitvoeren CMA_0486 - Simulatieaanvallen uitvoeren Handmatig, uitgeschakeld 1.1.0

Onderdrukkingsapparaten/systemen

Id: FedRAMP High PE-13 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden Handmatig, uitgeschakeld 1.1.0

Automatische brandbestrijding

Id: FedRAMP High PE-13 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden Handmatig, uitgeschakeld 1.1.0

Temperatuur- en vochtigheidscontroles

Id: FedRAMP High PE-14 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden Handmatig, uitgeschakeld 1.1.0

Bewaking met waarschuwingen/meldingen

Id: FedRAMP High PE-14 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden Handmatig, uitgeschakeld 1.1.0
Een alarmsysteem installeren CMA_0338 - Een alarmsysteem installeren Handmatig, uitgeschakeld 1.1.0

Bescherming tegen waterschade

Id: FedRAMP High PE-15 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden Handmatig, uitgeschakeld 1.1.0

Levering en verwijdering

Id: FedRAMP High PE-16 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Vereisten definiëren voor het beheren van assets CMA_0125 - Vereisten voor het beheren van assets definiëren Handmatig, uitgeschakeld 1.1.0
Het vervoer van assets beheren CMA_0370 - Het vervoer van assets beheren Handmatig, uitgeschakeld 1.1.0

Alternatieve werksite

Id: FedRAMP High PE-17 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Besturingselementen implementeren om alternatieve werksites te beveiligen CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen Handmatig, uitgeschakeld 1.1.0

Locatie van informatiesysteemonderdelen

Id: FedRAMP High PE-18 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden Handmatig, uitgeschakeld 1.1.0

Planning

Beleid en procedures voor beveiligingsplanning

Id: FedRAMP High PL-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Planningsbeleid en -procedures controleren en bijwerken CMA_C1491 - Planningsbeleid en -procedures controleren en bijwerken Handmatig, uitgeschakeld 1.1.0

Systeembeveiligingsplan

Id: FedRAMP High PL-2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een systeembeveiligingsplan ontwikkelen en opzetten CMA_0151 - Een systeembeveiligingsplan ontwikkelen en opzetten Handmatig, uitgeschakeld 1.1.0
Informatiebeveiligingsbeleid en -procedures ontwikkelen CMA_0158 - Informatiebeveiligingsbeleid en -procedures ontwikkelen Handmatig, uitgeschakeld 1.1.0
SSP ontwikkelen die voldoet aan criteria CMA_C1492 - SSP ontwikkelen die voldoet aan criteria Handmatig, uitgeschakeld 1.1.0
Een privacyprogramma opzetten CMA_0257 - Een privacyprogramma instellen Handmatig, uitgeschakeld 1.1.0
Beveiligingsvereisten instellen voor de productie van verbonden apparaten CMA_0279 : beveiligingsvereisten instellen voor de productie van verbonden apparaten Handmatig, uitgeschakeld 1.1.0
Beveiligingstechniekprincipes van informatiesystemen implementeren CMA_0325 - Beveiligingstechniekprincipes van informatiesystemen implementeren Handmatig, uitgeschakeld 1.1.0

Plannen/coördineren met andere organisatie-entiteiten

Id: FedRAMP High PL-2 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een systeembeveiligingsplan ontwikkelen en opzetten CMA_0151 - Een systeembeveiligingsplan ontwikkelen en opzetten Handmatig, uitgeschakeld 1.1.0
Beveiligingsvereisten instellen voor de productie van verbonden apparaten CMA_0279 : beveiligingsvereisten instellen voor de productie van verbonden apparaten Handmatig, uitgeschakeld 1.1.0
Beveiligingstechniekprincipes van informatiesystemen implementeren CMA_0325 - Beveiligingstechniekprincipes van informatiesystemen implementeren Handmatig, uitgeschakeld 1.1.0

Gedragsregels

Id: FedRAMP High PL-4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beleid en procedures voor acceptabel gebruik ontwikkelen CMA_0143 - Beleid en procedures voor acceptabel gebruik ontwikkelen Handmatig, uitgeschakeld 1.1.0
Organisatiecode van gedragsbeleid ontwikkelen CMA_0159 - Organisatiecode van gedragsbeleid ontwikkelen Handmatig, uitgeschakeld 1.1.0
Documenteer personeelsacceptatie van privacyvereisten CMA_0193 - Documenteer personeelsacceptatie van privacyvereisten Handmatig, uitgeschakeld 1.1.0
Regels voor gedrag en toegangsovereenkomsten afdwingen CMA_0248 - Regels voor gedrag en toegangsovereenkomsten afdwingen Handmatig, uitgeschakeld 1.1.0
Oneerlijke praktijken verbieden CMA_0396 - Oneerlijke praktijken verbieden Handmatig, uitgeschakeld 1.1.0
Herziene gedragsregels controleren en ondertekenen CMA_0465 - Herziene gedragsregels controleren en ondertekenen Handmatig, uitgeschakeld 1.1.0
Informatiebeveiligingsbeleid bijwerken CMA_0518 - Informatiebeveiligingsbeleid bijwerken Handmatig, uitgeschakeld 1.1.0
Regels voor gedrag en toegangsovereenkomsten bijwerken CMA_0521 - Regels voor gedrag en toegangsovereenkomsten bijwerken Handmatig, uitgeschakeld 1.1.0
Regels voor gedrag en toegangsovereenkomsten om de 3 jaar bijwerken CMA_0522 - Updateregels voor gedrag en toegangsovereenkomsten om de 3 jaar Handmatig, uitgeschakeld 1.1.0

Beperkingen voor sociale media en netwerken

Id: FedRAMP High PL-4 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beleid en procedures voor acceptabel gebruik ontwikkelen CMA_0143 - Beleid en procedures voor acceptabel gebruik ontwikkelen Handmatig, uitgeschakeld 1.1.0

Informatiebeveiligingsarchitectuur

Id: FedRAMP High PL-8 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een concept van bewerkingen ontwikkelen (CONOPS) CMA_0141 - Een concept van bewerkingen ontwikkelen (CONOPS) Handmatig, uitgeschakeld 1.1.0
De informatiebeveiligingsarchitectuur controleren en bijwerken CMA_C1504 - De architectuur voor informatiebeveiliging controleren en bijwerken Handmatig, uitgeschakeld 1.1.0

Personeelsbeveiliging

Beveiligingsbeleid en procedures voor personeel

Id: FedRAMP High PS-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsbeleid en procedures voor personeel controleren en bijwerken CMA_C1507 - Beveiligingsbeleid en procedures voor personeel controleren en bijwerken Handmatig, uitgeschakeld 1.1.0

Positierisico-aanduiding

Id: FedRAMP High PS-2 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Risicoaanduidingen toewijzen CMA_0016 - Risicoaanduidingen toewijzen Handmatig, uitgeschakeld 1.1.0

Screening van personeel

Id: FedRAMP High PS-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Personeel wissen met toegang tot geclassificeerde gegevens CMA_0054 - Personeel wissen met toegang tot geclassificeerde gegevens Handmatig, uitgeschakeld 1.1.0
Personeelscontrole implementeren CMA_0322 - Personeelscontrole implementeren Handmatig, uitgeschakeld 1.1.0
Personen opnieuw weergeven met een gedefinieerde frequentie CMA_C1512 - Personen opnieuw weergeven met een gedefinieerde frequentie Handmatig, uitgeschakeld 1.1.0

Informatie met speciale beschermingsmaatregelen

Id: FedRAMP High PS-3 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Speciale informatie beveiligen CMA_0409 - Speciale informatie beveiligen Handmatig, uitgeschakeld 1.1.0

Beëindiging van personeel

Id: FedRAMP High PS-4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Interview afsluiten bij beëindiging CMA_0058 - Afsluitinterview houden bij beëindiging Handmatig, uitgeschakeld 1.1.0
Verificators uitschakelen na beëindiging CMA_0169 - Verificators uitschakelen na beëindiging Handmatig, uitgeschakeld 1.1.0
Melden bij beëindiging of overdracht CMA_0381 - Melden bij beëindiging of overdracht Handmatig, uitgeschakeld 1.1.0
Beschermen tegen en voorkomen dat gegevensdiefstal vertrekkende werknemers CMA_0398 - Beschermen tegen en voorkomen dat gegevensdiefstal vertrekkende werknemers Handmatig, uitgeschakeld 1.1.0
Beëindigde gebruikersgegevens behouden CMA_0455 - Beëindigde gebruikersgegevens behouden Handmatig, uitgeschakeld 1.1.0

Automatische melding

Id: FedRAMP High PS-4 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Melding van beëindiging van werknemers automatiseren CMA_C1521 - Melding van beëindiging van werknemers automatiseren Handmatig, uitgeschakeld 1.1.0

Overplaatsing van personeel

Id: FedRAMP High PS-5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Overdrachts- of toewijzingsacties initiëren CMA_0333 - Overdrachts- of hertoewijzingsacties initiëren Handmatig, uitgeschakeld 1.1.0
Toegangsautorisaties wijzigen bij overdracht van personeel CMA_0374 - Toegangsautorisaties wijzigen bij overdracht van personeel Handmatig, uitgeschakeld 1.1.0
Melden bij beëindiging of overdracht CMA_0381 - Melden bij beëindiging of overdracht Handmatig, uitgeschakeld 1.1.0
Toegang opnieuw geëvalueerd bij overdracht van personeel CMA_0424 - Toegang opnieuw controleren bij overdracht van personeel Handmatig, uitgeschakeld 1.1.0

Toegangsovereenkomsten

Id: FedRAMP High PS-6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegangsovereenkomsten voor organisaties documenteer CMA_0192 - Toegangsovereenkomsten voor organisaties documenteer Handmatig, uitgeschakeld 1.1.0
Regels voor gedrag en toegangsovereenkomsten afdwingen CMA_0248 - Regels voor gedrag en toegangsovereenkomsten afdwingen Handmatig, uitgeschakeld 1.1.0
Ervoor zorgen dat toegangsovereenkomsten tijdig worden ondertekend of afgetrokken CMA_C1528: ervoor zorgen dat toegangsovereenkomsten tijdig worden ondertekend of afgetrokken Handmatig, uitgeschakeld 1.1.0
Gebruikers verplichten om toegangsovereenkomst te ondertekenen CMA_0440 - Vereisen dat gebruikers toegangsovereenkomst ondertekenen Handmatig, uitgeschakeld 1.1.0
Toegangsovereenkomsten voor organisaties bijwerken CMA_0520 - Toegangsovereenkomsten voor organisaties bijwerken Handmatig, uitgeschakeld 1.1.0

Externe personeelsbeveiliging

Id: FedRAMP High PS-7 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Documenteer beveiligingsvereisten voor personeel van derden CMA_C1531 - Beveiligingsvereisten van derden documenteer Handmatig, uitgeschakeld 1.1.0
Beveiligingsvereisten voor personeel van derden vaststellen CMA_C1529 - Beveiligingsvereisten voor personeel van derden vaststellen Handmatig, uitgeschakeld 1.1.0
Naleving van externe providers bewaken CMA_C1533 - Naleving van externe providers controleren Handmatig, uitgeschakeld 1.1.0
Melding van overdracht of beëindiging van derden vereisen CMA_C1532 - Melding van overdracht of beëindiging van personeel van derden vereisen Handmatig, uitgeschakeld 1.1.0
Vereisen dat externe providers voldoen aan beveiligingsbeleid en procedures voor personeel CMA_C1530 - Vereisen dat externe providers voldoen aan het beveiligingsbeleid en de procedures voor personeelsbeveiliging Handmatig, uitgeschakeld 1.1.0

Personeelssancties

Id: FedRAMP High PS-8 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Formeel sanctieproces implementeren CMA_0317 - Formeel sanctieproces implementeren Handmatig, uitgeschakeld 1.1.0
Personeel op de hoogte stellen van sancties CMA_0380 - Personeel op de hoogte stellen van sancties Handmatig, uitgeschakeld 1.1.0

Risicobeoordeling

Beleid en procedures voor risicoanalyse

Id: FedRAMP High RA-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beleidsregels en procedures voor risicoanalyse controleren en bijwerken CMA_C1537 - Beleid en procedures voor risicoanalyse controleren en bijwerken Handmatig, uitgeschakeld 1.1.0

Categorisatie van beveiliging

Id: FedRAMP High RA-2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Gegevens categoriseren CMA_0052 - Gegevens categoriseren Handmatig, uitgeschakeld 1.1.0
Bedrijfsclassificatieschema's ontwikkelen CMA_0155 - Bedrijfsclassificatieschema's ontwikkelen Handmatig, uitgeschakeld 1.1.0
Controleren of beveiligingscategorisatie is goedgekeurd CMA_C1540: controleren of beveiligingscategorisatie is goedgekeurd Handmatig, uitgeschakeld 1.1.0
Labelactiviteit en -analyse controleren CMA_0474 - Labelactiviteit en -analyse controleren Handmatig, uitgeschakeld 1.1.0

Risicobeoordeling

Id: FedRAMP High RA-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Risicoanalyse uitvoeren CMA_C1543 - Risicoanalyse uitvoeren Handmatig, uitgeschakeld 1.1.0
Risicoanalyse uitvoeren en de resultaten ervan distribueren CMA_C1544 - Risicoanalyse uitvoeren en de resultaten ervan distribueren Handmatig, uitgeschakeld 1.1.0
Risicoanalyse uitvoeren en de resultaten ervan documenteren CMA_C1542 - Risicoanalyse uitvoeren en de resultaten ervan documenteren Handmatig, uitgeschakeld 1.1.0
Een risicoanalyse uitvoeren CMA_0388 - Een risicoanalyse uitvoeren Handmatig, uitgeschakeld 1.1.0

Scannen op beveiligingsproblemen

Id: FedRAMP High RA-5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. AuditIfNotExists, uitgeschakeld 3.0.0
Azure Defender voor App Service moet zijn ingeschakeld Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Key Vault moet zijn ingeschakeld Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage moet zijn ingeschakeld Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. AuditIfNotExists, uitgeschakeld 1.0.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. AuditIfNotExists, uitgeschakeld 4.1.0
SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost Sql-evaluatie van beveiligingsproblemen scant uw database op beveiligingsproblemen en maakt eventuele afwijkingen van best practices beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. AuditIfNotExists, uitgeschakeld 1.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.1.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. AuditIfNotExists, uitgeschakeld 1.0.1
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. AuditIfNotExists, uitgeschakeld 3.0.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor uw Synapse-werkruimten Detecteer, traceer en herstel potentiële beveiligingsproblemen door terugkerende SQL-evaluatie van beveiligingsproblemen te configureren in uw Synapse-werkruimten. AuditIfNotExists, uitgeschakeld 1.0.0

Mogelijkheid van hulpprogramma's bijwerken

Id: FedRAMP High RA-5 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0

Bijwerken op frequentie/vóór nieuwe scan/wanneer geïdentificeerd

Id: FedRAMP High RA-5 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0

Breedte/diepte van dekking

Id: FedRAMP High RA-5 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0

Detecteerbare informatie

Id: FedRAMP High RA-5 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Actie ondernemen als reactie op klantgegevens CMA_C1554 - Actie ondernemen als reactie op klantgegevens Handmatig, uitgeschakeld 1.1.0

Bevoegde toegang

Id: FedRAMP High RA-5 (5) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegde toegang implementeren voor het uitvoeren van scanactiviteiten op beveiligingsproblemen CMA_C1555 - Bevoegde toegang implementeren voor het uitvoeren van scanactiviteiten op beveiligingsproblemen Handmatig, uitgeschakeld 1.1.0

Geautomatiseerde trendanalyses

Id: FedRAMP High RA-5 (6) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Zwakke punten in de beveiliging observeren en rapporteren CMA_0384 - Zwakke plekken in de beveiliging observeren en rapporteren Handmatig, uitgeschakeld 1.1.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Bedreigingsmodellering uitvoeren CMA_0392 - Bedreigingsmodellering uitvoeren Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0

Historische auditlogboeken controleren

Id: FedRAMP High RA-5 (8) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Controlerecords correleren CMA_0087 - Auditrecords correleren Handmatig, uitgeschakeld 1.1.0
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0
Vereisten voor controlebeoordeling en rapportage vaststellen CMA_0277 : vereisten vaststellen voor controlebeoordeling en rapportage Handmatig, uitgeschakeld 1.1.0
Controlebeoordeling, analyse en rapportage integreren CMA_0339 - Controlebeoordeling, analyse en rapportage integreren Handmatig, uitgeschakeld 1.1.0
Cloud-app-beveiliging integreren met een siem CMA_0340 - Cloud-app-beveiliging integreren met een siem Handmatig, uitgeschakeld 1.1.0
Accountinrichtingslogboeken controleren CMA_0460 - Accountinrichtingslogboeken controleren Handmatig, uitgeschakeld 1.1.0
Wekelijks beheerderstoewijzingen bekijken CMA_0461 - Wekelijks beheerderstoewijzingen controleren Handmatig, uitgeschakeld 1.1.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0
Overzicht van cloudidentiteitsrapport bekijken CMA_0468 - Overzicht van cloudidentiteitsrapport bekijken Handmatig, uitgeschakeld 1.1.0
Gecontroleerde toegangsgebeurtenissen voor mappen controleren CMA_0471 - Gecontroleerde toegangsgebeurtenissen voor mappen controleren Handmatig, uitgeschakeld 1.1.0
Gebeurtenissen voor misbruikbeveiliging controleren CMA_0472 - Gebeurtenissen voor misbruikbeveiliging controleren Handmatig, uitgeschakeld 1.1.0
Bestands- en mapactiviteit controleren CMA_0473 - Bestands- en mapactiviteit controleren Handmatig, uitgeschakeld 1.1.0
Wijzigingen in rolgroepen wekelijks controleren CMA_0476 - Wijzigingen in rollengroep wekelijks controleren Handmatig, uitgeschakeld 1.1.0

Scangegevens correleren

Id: FedRAMP High RA-5 (10) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Scangegevens voor beveiligingsproblemen correleren CMA_C1558 - Scangegevens voor beveiligingsproblemen correleren Handmatig, uitgeschakeld 1.1.1

Overname van systeem en services

Beleid en procedures voor het verwerven van systeem en services

Id: FedRAMP High SA-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beleid en procedures voor het verkrijgen van systemen en services controleren en bijwerken CMA_C1560 - Beleid en procedures voor het verkrijgen van systemen en services controleren en bijwerken Handmatig, uitgeschakeld 1.1.0

Toewijzing van resources

Id: FedRAMP High SA-2 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bedrijfsdoelstellingen en IT-doelstellingen afstemmen CMA_0008 - Bedrijfsdoelstellingen en IT-doelstellingen afstemmen Handmatig, uitgeschakeld 1.1.0
Resources toewijzen bij het bepalen van informatiesysteemvereisten CMA_C1561 - Resources toewijzen bij het bepalen van informatiesysteemvereisten Handmatig, uitgeschakeld 1.1.0
Een discrete regelitem instellen in de budgetteringsdocumentatie CMA_C1563 - Een discrete regelitem maken in de budgetteringsdocumentatie Handmatig, uitgeschakeld 1.1.0
Een privacyprogramma opzetten CMA_0257 - Een privacyprogramma instellen Handmatig, uitgeschakeld 1.1.0
De toewijzing van resources beheren CMA_0293 - De toewijzing van resources beheren Handmatig, uitgeschakeld 1.1.0
Veilige toezegging van leiderschap CMA_0489 - Veilige toezegging van leiderschap Handmatig, uitgeschakeld 1.1.0

Levenscyclus van systeemontwikkeling

Id: FedRAMP High SA-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Informatiebeveiligingsrollen en -verantwoordelijkheden definiëren CMA_C1565 - Informatiebeveiligingsrollen en -verantwoordelijkheden definiëren Handmatig, uitgeschakeld 1.1.0
Personen identificeren met beveiligingsrollen en verantwoordelijkheden CMA_C1566 - Personen identificeren met beveiligingsrollen en verantwoordelijkheden Handmatig, uitgeschakeld 1.1.1
Risicobeheerproces integreren in SDLC CMA_C1567 - Risicobeheerproces integreren in SDLC Handmatig, uitgeschakeld 1.1.0

Overnameproces

Id: FedRAMP High SA-4 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Contractverplichtingen van leveranciers bepalen CMA_0140 - Contractverplichtingen van leveranciers bepalen Handmatig, uitgeschakeld 1.1.0
Acceptatiecriteria voor overnamecontract documenteren CMA_0187 - Acceptatiecriteria voor documentaankoopcontract Handmatig, uitgeschakeld 1.1.0
Documentbescherming van persoonsgegevens in overnamecontracten CMA_0194 - Documentbescherming van persoonsgegevens in overnamecontracten Handmatig, uitgeschakeld 1.1.0
Documentbescherming van beveiligingsgegevens in overnamecontracten CMA_0195 - Documentbescherming van beveiligingsgegevens in overnamecontracten Handmatig, uitgeschakeld 1.1.0
Documentvereisten voor het gebruik van gedeelde gegevens in contracten CMA_0197 - Documentvereisten voor het gebruik van gedeelde gegevens in contracten Handmatig, uitgeschakeld 1.1.0
Vereisten voor beveiligingscontrole in overnamecontracten documenteer CMA_0199 - Vereisten voor beveiligingscontrole vastleggen in overnamecontracten Handmatig, uitgeschakeld 1.1.0
Documentbeveiligingsdocumentatievereisten in overnamecontract CMA_0200 - Documentbeveiligingsdocumentatievereisten in overnamecontract Handmatig, uitgeschakeld 1.1.0
Functionele vereisten voor beveiliging documentleren in overnamecontracten CMA_0201 - Functionele vereisten voor beveiliging document in overnamecontracten Handmatig, uitgeschakeld 1.1.0
Vereisten voor beveiligingssterkte documenteer in overnamecontracten CMA_0203 - Vereisten voor beveiligingssterkte documenteer in overnamecontracten Handmatig, uitgeschakeld 1.1.0
Documenteer de informatiesysteemomgeving in overnamecontracten CMA_0205 - Documenteer de informatiesysteemomgeving in overnamecontracten Handmatig, uitgeschakeld 1.1.0
Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden CMA_0207 - Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden Handmatig, uitgeschakeld 1.1.0

Functionele eigenschappen van beveiligingscontroles

Id: FedRAMP High SA-4 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Functionele eigenschappen van beveiligingscontroles verkrijgen CMA_C1575 - Functionele eigenschappen van beveiligingsmaatregelen verkrijgen Handmatig, uitgeschakeld 1.1.0

Ontwerp-/implementatiegegevens voor beveiligingscontroles

Id: FedRAMP High SA-4 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Ontwerp- en implementatiegegevens verkrijgen voor de beveiligingscontroles CMA_C1576 - Ontwerp- en implementatiegegevens verkrijgen voor de beveiligingscontroles Handmatig, uitgeschakeld 1.1.1

Plan voor continue bewaking

Id: FedRAMP High SA-4 (8) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Doorlopend bewakingsplan voor beveiligingscontroles verkrijgen CMA_C1577 - Doorlopend bewakingsplan voor beveiligingscontroles verkrijgen Handmatig, uitgeschakeld 1.1.0

Functies/poorten/protocollen/services die in gebruik zijn

Id: FedRAMP High SA-4 (9) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Vereisen dat ontwikkelaars SDLC-poorten, -protocollen en -services identificeren CMA_C1578 - Vereisen dat ontwikkelaars SDLC-poorten, -protocollen en -services identificeren Handmatig, uitgeschakeld 1.1.0

Gebruik van goedgekeurde Piv-producten

Id: FedRAMP High SA-4 (10) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
FIPS 201-goedgekeurde technologie gebruiken voor PIV CMA_C1579 - FIPS 201-goedgekeurde technologie gebruiken voor PIV Handmatig, uitgeschakeld 1.1.0

Documentatie over informatiesysteem

Id: FedRAMP High SA-5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Documentatie over informatiesysteem distribueren CMA_C1584 - Documentatie over informatiesysteem distribueren Handmatig, uitgeschakeld 1.1.0
Door de klant gedefinieerde acties documenteer CMA_C1582 - Door de klant gedefinieerde acties document Handmatig, uitgeschakeld 1.1.0
Beheerdersdocumentatie verkrijgen CMA_C1580 - Beheerdersdocumentatie verkrijgen Handmatig, uitgeschakeld 1.1.0
Documentatie over gebruikersbeveiligingsfuncties verkrijgen CMA_C1581 - Documentatie over gebruikersbeveiligingsfuncties verkrijgen Handmatig, uitgeschakeld 1.1.0
Beheerders- en gebruikersdocumentatie beveiligen CMA_C1583 - Beheerders- en gebruikersdocumentatie beveiligen Handmatig, uitgeschakeld 1.1.0

Externe informatiesysteemservices

Id: FedRAMP High SA-9 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toezicht op de overheid definiëren en documenteer CMA_C1587 - Toezicht op de overheid definiëren en documenteer Handmatig, uitgeschakeld 1.1.0
Vereisen dat externe serviceproviders voldoen aan beveiligingsvereisten CMA_C1586 : externe serviceproviders verplichten om te voldoen aan de beveiligingsvereisten Handmatig, uitgeschakeld 1.1.0
De naleving van beleidsregels en overeenkomsten van cloudserviceproviders controleren CMA_0469 - De naleving van beleidsregels en overeenkomsten van cloudserviceproviders controleren Handmatig, uitgeschakeld 1.1.0
Onafhankelijke beveiligingsbeoordeling ondergaan CMA_0515 - Onafhankelijke beveiligingsbeoordeling ondergaan Handmatig, uitgeschakeld 1.1.0

Risicoanalyses/goedkeuringen van organisaties

Id: FedRAMP High SA-9 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Risico's beoordelen in relaties van derden CMA_0014 - Risico's beoordelen in relaties van derden Handmatig, uitgeschakeld 1.1.0
Goedkeuringen verkrijgen voor overnames en uitbesteden CMA_C1590 - Goedkeuringen verkrijgen voor overnames en uitbesteden Handmatig, uitgeschakeld 1.1.0

Identificatie van functies/poorten/protocollen/services

Id: FedRAMP High SA-9 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Externe serviceproviders identificeren CMA_C1591 - Externe serviceproviders identificeren Handmatig, uitgeschakeld 1.1.0

Consistente belangen van consumenten en providers

Id: FedRAMP High SA-9 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Zorg ervoor dat externe providers consistent voldoen aan de belangen van de klanten CMA_C1592 : ervoor zorgen dat externe providers consistent voldoen aan de belangen van de klanten Handmatig, uitgeschakeld 1.1.0

Verwerkings-, opslag- en servicelocatie

Id: FedRAMP High SA-9 (5) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Locatie van informatieverwerking, opslag en services beperken CMA_C1593 - Locatie van gegevensverwerking, opslag en services beperken Handmatig, uitgeschakeld 1.1.0

Configuratiebeheer voor ontwikkelaars

Id: FedRAMP High SA-10 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsproblemen met coderen oplossen CMA_0003 - Beveiligingsproblemen met codering oplossen Handmatig, uitgeschakeld 1.1.0
Beveiligingsvereisten voor toepassingen ontwikkelen en documenten CMA_0148 - Beveiligingsvereisten voor toepassingen ontwikkelen en documenten Handmatig, uitgeschakeld 1.1.0
Documenteer de informatiesysteemomgeving in overnamecontracten CMA_0205 - Documenteer de informatiesysteemomgeving in overnamecontracten Handmatig, uitgeschakeld 1.1.0
Een beveiligd softwareontwikkelingsprogramma opzetten CMA_0259 - Een beveiligd softwareontwikkelingsprogramma opzetten Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0
Vereisen dat ontwikkelaars goedgekeurde wijzigingen en mogelijke impact documenteren CMA_C1597 : vereisen dat ontwikkelaars goedgekeurde wijzigingen en mogelijke gevolgen documenteren Handmatig, uitgeschakeld 1.1.0
Vereisen dat ontwikkelaars alleen goedgekeurde wijzigingen implementeren CMA_C1596: vereisen dat ontwikkelaars alleen goedgekeurde wijzigingen implementeren Handmatig, uitgeschakeld 1.1.0
Vereisen dat ontwikkelaars de integriteit van wijzigingen beheren CMA_C1595 - Vereisen dat ontwikkelaars de integriteit van wijzigingen beheren Handmatig, uitgeschakeld 1.1.0

Verificatie van software-/firmware-integriteit

Id: FedRAMP High SA-10 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Integriteit van software, firmware en informatie controleren CMA_0542 - Integriteit van software, firmware en informatie controleren Handmatig, uitgeschakeld 1.1.0

Beveiligingstests en -evaluatie voor ontwikkelaars

Id: FedRAMP High SA-11 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0
Vereisen dat ontwikkelaars bewijs produceren van de uitvoering van het beveiligingsevaluatieplan CMA_C1602 : ontwikkelaars verplichten bewijs te leveren van de uitvoering van het beveiligingsevaluatieplan Handmatig, uitgeschakeld 1.1.0

Beveiliging van toeleveringsketen

Id: FedRAMP High SA-12 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Risico's beoordelen in relaties van derden CMA_0014 - Risico's beoordelen in relaties van derden Handmatig, uitgeschakeld 1.1.0
Vereisten definiëren voor het leveren van goederen en diensten CMA_0126 - Vereisten voor het leveren van goederen en diensten definiëren Handmatig, uitgeschakeld 1.1.0
Contractverplichtingen van leveranciers bepalen CMA_0140 - Contractverplichtingen van leveranciers bepalen Handmatig, uitgeschakeld 1.1.0
Beleid opstellen voor toeleveringsketenrisicobeheer CMA_0275 - Beleid voor toeleveringsketenrisicobeheer instellen Handmatig, uitgeschakeld 1.1.0

Ontwikkelingsproces, standaarden en hulpprogramma's

Id: FedRAMP High SA-15 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Ontwikkelingsproces, standaarden en hulpprogramma's beoordelen CMA_C1610 - Ontwikkelingsproces, standaarden en hulpprogramma's controleren Handmatig, uitgeschakeld 1.1.0

Door de ontwikkelaar geboden training

Id: FedRAMP High SA-16 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Vereisen dat ontwikkelaars training bieden CMA_C1611 : ontwikkelaars verplichten om training te bieden Handmatig, uitgeschakeld 1.1.0

Beveiligingsarchitectuur en -ontwerp voor ontwikkelaars

Id: FedRAMP High SA-17 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Vereisen dat ontwikkelaars beveiligingsarchitectuur bouwen CMA_C1612 : ontwikkelaars verplichten om beveiligingsarchitectuur te bouwen Handmatig, uitgeschakeld 1.1.0
Vereisen dat ontwikkelaars nauwkeurige beveiligingsfunctionaliteit beschrijven CMA_C1613 : vereisen dat ontwikkelaars nauwkeurige beveiligingsfunctionaliteit beschrijven Handmatig, uitgeschakeld 1.1.0
Vereisen dat ontwikkelaars geïntegreerde beveiligingsbeveiligingsbenadering bieden CMA_C1614 : ontwikkelaars verplichten om een geïntegreerde beveiligingsbeveiligingsbenadering te bieden Handmatig, uitgeschakeld 1.1.0

Systeem- en communicatiebeveiliging

Beleid en procedures voor systeem- en communicatiebescherming

Id: FedRAMP High SC-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beleid en procedures voor systeem- en communicatiebeveiliging controleren en bijwerken CMA_C1616 - Beleid en procedures voor systeem- en communicatiebeveiliging controleren en bijwerken Handmatig, uitgeschakeld 1.1.0

Partitionering van toepassingen

Id: FedRAMP High SC-2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Externe toegang autoriseren CMA_0024 - Externe toegang autoriseren Handmatig, uitgeschakeld 1.1.0
Afzonderlijke functionaliteit voor gebruikers- en informatiesysteembeheer CMA_0493 - Afzonderlijke functionaliteit voor gebruikers- en informatiesysteembeheer Handmatig, uitgeschakeld 1.1.0
Toegewezen machines gebruiken voor beheertaken CMA_0527 - Toegewezen machines gebruiken voor beheertaken Handmatig, uitgeschakeld 1.1.0

Isolatie van beveiligingsfuncties

Id: FedRAMP High SC-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). AuditIfNotExists, uitgeschakeld 2.0.0

Denial Of Service Protection

Id: FedRAMP High SC-5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure DDoS Protection moet zijn ingeschakeld DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres. AuditIfNotExists, uitgeschakeld 3.0.1
Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. Controleren, Weigeren, Uitgeschakeld 1.0.2
Een DDoS-antwoordplan ontwikkelen en documenteert CMA_0147 - Een DDoS-antwoordplan ontwikkelen en documenteert Handmatig, uitgeschakeld 1.1.0
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. AuditIfNotExists, uitgeschakeld 3.0.0
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. Controleren, Weigeren, Uitgeschakeld 2.0.0

Beschikbaarheid van resources

Id: FedRAMP High SC-6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
De toewijzing van resources beheren CMA_0293 - De toewijzing van resources beheren Handmatig, uitgeschakeld 1.1.0
Beschikbaarheid en capaciteit beheren CMA_0356 - Beschikbaarheid en capaciteit beheren Handmatig, uitgeschakeld 1.1.0
Veilige toezegging van leiderschap CMA_0489 - Veilige toezegging van leiderschap Handmatig, uitgeschakeld 1.1.0

Grensbescherming

Id: FedRAMP High SC-7 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controle, uitgeschakeld 1.0.1-afgeschaft
[Afgeschaft]: Cognitive Services moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. Controle, uitgeschakeld 3.0.1 afgeschaft
[Preview]: Al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie AuditIfNotExists, uitgeschakeld 3.0.0-preview
[Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 3.1.0-preview
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. AuditIfNotExists, uitgeschakeld 3.0.0
API Management-services moeten een virtueel netwerk gebruiken Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. Controleren, Weigeren, Uitgeschakeld 1.0.2
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2
Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. Controle, uitgeschakeld 2.0.1
Azure AI Services-resources moeten netwerktoegang beperken Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. Controleren, Weigeren, Uitgeschakeld 3.2.0
De Azure-API voor FHIR moet een privé-koppeling gebruiken De Azure-API voor FHIR moet over ten minste een goedgekeurde privé-eindpuntverbinding beschikken. Clients in een virtueel netwerk hebben beveiligde toegang tot resources met privé-eindpuntverbindingen door middel van privékoppelingen. Voor meer informatie gaat u naar: https://aka.ms/fhir-privatelink. Controle, uitgeschakeld 1.0.0
Azure Cache voor Redis moet private link gebruiken Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cosmos DB-accounts moeten firewallregels bevatten Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. Controleren, Weigeren, Uitgeschakeld 2.1.0
Azure Data Factory moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Azure File Sync moet gebruikmaken van private link Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Key Vault moet firewall zijn ingeschakeld Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security Controleren, Weigeren, Uitgeschakeld 3.2.1
Azure Key Vaults moet gebruikmaken van een privékoppeling Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controle, uitgeschakeld 1.0.0
Azure Service Bus-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure SignalR Service moet Private Link worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. Controle, uitgeschakeld 1.0.0
Azure Synapse-werkruimten moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Controle, uitgeschakeld 1.0.1
Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. Controleren, Weigeren, Uitgeschakeld 1.0.2
De Azure Web PubSub-service moet gebruikmaken van een privékoppeling Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. Controle, uitgeschakeld 1.0.0
Containerregisters mogen geen onbeperkte netwerktoegang toestaan Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinken https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Controleren, Weigeren, Uitgeschakeld 2.0.0
Containerregisters moeten een privékoppeling gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. Controle, uitgeschakeld 1.0.1
CosmosDB-accounts moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Controle, uitgeschakeld 1.0.0
Resources voor schijftoegang moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, uitgeschakeld 1.0.0
Event Hub-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Systeemgrensbescherming implementeren CMA_0328 - Systeemgrensbescherming implementeren Handmatig, uitgeschakeld 1.1.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. Controle, uitgeschakeld 1.0.0
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten moeten gesloten zijn op uw virtuele machines Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. AuditIfNotExists, uitgeschakeld 3.0.0
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0
Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MariaDB. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MySQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for PostgreSQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Controleren, Weigeren, Uitgeschakeld 1.1.0
Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MariaDB alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. Controleren, Weigeren, Uitgeschakeld 2.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. Controleren, Weigeren, Uitgeschakeld 2.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk. Controleren, Weigeren, Uitgeschakeld 2.0.1
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. Controleren, Weigeren, Uitgeschakeld 1.0.1
Opslagaccounts moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, uitgeschakeld 2.0.0
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. AuditIfNotExists, uitgeschakeld 3.0.0
VM Image Builder-sjablonen moeten een private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw VM Image Builder-bouwresources, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Controleren, uitgeschakeld, weigeren 1.1.0
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. Controleren, Weigeren, Uitgeschakeld 2.0.0

Toegangspunten

Id: FedRAMP High SC-7 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Azure Cognitive Search-service s moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controle, uitgeschakeld 1.0.1-afgeschaft
[Afgeschaft]: Cognitive Services moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. Controle, uitgeschakeld 3.0.1 afgeschaft
[Preview]: Al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie AuditIfNotExists, uitgeschakeld 3.0.0-preview
[Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 3.1.0-preview
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. AuditIfNotExists, uitgeschakeld 3.0.0
API Management-services moeten een virtueel netwerk gebruiken Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. Controleren, Weigeren, Uitgeschakeld 1.0.2
Voor App Configuration moeten privékoppelingen worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, uitgeschakeld 1.0.2
Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. Controle, uitgeschakeld 2.0.1
Azure AI Services-resources moeten netwerktoegang beperken Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. Controleren, Weigeren, Uitgeschakeld 3.2.0
De Azure-API voor FHIR moet een privé-koppeling gebruiken De Azure-API voor FHIR moet over ten minste een goedgekeurde privé-eindpuntverbinding beschikken. Clients in een virtueel netwerk hebben beveiligde toegang tot resources met privé-eindpuntverbindingen door middel van privékoppelingen. Voor meer informatie gaat u naar: https://aka.ms/fhir-privatelink. Controle, uitgeschakeld 1.0.0
Azure Cache voor Redis moet private link gebruiken Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Cosmos DB-accounts moeten firewallregels bevatten Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. Controleren, Weigeren, Uitgeschakeld 2.1.0
Azure Data Factory moet private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. Controle, uitgeschakeld 1.0.2
Azure File Sync moet gebruikmaken van private link Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure Key Vault moet firewall zijn ingeschakeld Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security Controleren, Weigeren, Uitgeschakeld 3.2.1
Azure Key Vaults moet gebruikmaken van een privékoppeling Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Controle, uitgeschakeld 1.0.0
Azure Service Bus-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Voor Azure SignalR Service moet Private Link worden gebruikt Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. Controle, uitgeschakeld 1.0.0
Azure Synapse-werkruimten moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Controle, uitgeschakeld 1.0.1
Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. Controleren, Weigeren, Uitgeschakeld 1.0.2
De Azure Web PubSub-service moet gebruikmaken van een privékoppeling Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. Controle, uitgeschakeld 1.0.0
Containerregisters mogen geen onbeperkte netwerktoegang toestaan Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinken https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Controleren, Weigeren, Uitgeschakeld 2.0.0
Containerregisters moeten een privékoppeling gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. Controle, uitgeschakeld 1.0.1
CosmosDB-accounts moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Controle, uitgeschakeld 1.0.0
Resources voor schijftoegang moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, uitgeschakeld 1.0.0
Event Hub-naamruimten moeten private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, uitgeschakeld 1.0.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. Controle, uitgeschakeld 1.0.0
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.0.0
Beheerpoorten moeten gesloten zijn op uw virtuele machines Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. AuditIfNotExists, uitgeschakeld 3.0.0
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeld 3.0.0
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. Controle, uitgeschakeld 1.1.0
Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MariaDB. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MySQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for PostgreSQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. AuditIfNotExists, uitgeschakeld 1.0.2
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Controleren, Weigeren, Uitgeschakeld 1.1.0
Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MariaDB alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. Controleren, Weigeren, Uitgeschakeld 2.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. Controleren, Weigeren, Uitgeschakeld 2.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk. Controleren, Weigeren, Uitgeschakeld 2.0.1
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. Controleren, Weigeren, Uitgeschakeld 1.0.1
Opslagaccounts moeten gebruikmaken van private link Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, uitgeschakeld 2.0.0
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. AuditIfNotExists, uitgeschakeld 3.0.0
VM Image Builder-sjablonen moeten een private link gebruiken Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw VM Image Builder-bouwresources, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Controleren, uitgeschakeld, weigeren 1.1.0
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. Controleren, Weigeren, Uitgeschakeld 2.0.0

Externe telecommunicatieservices

Id: FedRAMP High SC-7 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beheerde interface implementeren voor elke externe service CMA_C1626 - Beheerde interface implementeren voor elke externe service Handmatig, uitgeschakeld 1.1.0
Systeemgrensbescherming implementeren CMA_0328 - Systeemgrensbescherming implementeren Handmatig, uitgeschakeld 1.1.0
De interface naar externe systemen beveiligen CMA_0491 - De interface naar externe systemen beveiligen Handmatig, uitgeschakeld 1.1.0

Split Tunneling voorkomen voor externe apparaten

Id: FedRAMP High SC-7 (7) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Split tunneling voor externe apparaten voorkomen CMA_C1632 - Split Tunneling voorkomen voor externe apparaten Handmatig, uitgeschakeld 1.1.0

Verkeer routeren naar geverifieerde proxyservers

Id: FedRAMP High SC-7 (8) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Verkeer routeren via geverifieerd proxynetwerk CMA_C1633 - Verkeer routeren via geverifieerd proxynetwerk Handmatig, uitgeschakeld 1.1.0

Beveiliging op basis van host

Id: FedRAMP High SC-7 (12) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Systeemgrensbescherming implementeren CMA_0328 - Systeemgrensbescherming implementeren Handmatig, uitgeschakeld 1.1.0

Isolatie van beveiligingshulpprogramma's / mechanismen / ondersteuningsonderdelen

Id: FedRAMP High SC-7 (13) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
SecurID-systemen isoleren, Security Incident Management-systemen CMA_C1636 - SecurID-systemen isoleren, beveiligingsincidentbeheersystemen Handmatig, uitgeschakeld 1.1.0

Mislukt veilig

Id: FedRAMP High SC-7 (18) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Systeemgrensbescherming implementeren CMA_0328 - Systeemgrensbescherming implementeren Handmatig, uitgeschakeld 1.1.0
Overdrachten tussen stand-by- en actieve systeemonderdelen beheren CMA_0371 - Overdrachten tussen stand-by- en actieve systeemonderdelen beheren Handmatig, uitgeschakeld 1.1.0

Dynamische isolatie/scheiding

Id: FedRAMP High SC-7 (20) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Zorg ervoor dat het systeem dynamische isolatie van resources kan garanderen CMA_C1638 : ervoor zorgen dat het systeem in staat is om resources dynamisch te isoleren Handmatig, uitgeschakeld 1.1.0

Isolatie van informatiesysteemonderdelen

Id: FedRAMP High SC-7 (21) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Grensbescherming gebruiken om informatiesystemen te isoleren CMA_C1639 - Grensbescherming gebruiken om informatiesystemen te isoleren Handmatig, uitgeschakeld 1.1.0

Vertrouwelijkheid en integriteit van verzending

Id: FedRAMP High SC-8 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
App Service-apps mogen alleen toegankelijk zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Controleren, uitgeschakeld, weigeren 4.0.0
App Service-apps mogen alleen FTPS vereisen FTPS-afdwinging inschakelen voor verbeterde beveiliging. AuditIfNotExists, uitgeschakeld 3.0.0
App Service-apps moeten de nieuwste TLS-versie gebruiken Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 2.1.0
Azure HDInsight-clusters moeten versleuteling in transit gebruiken om communicatie tussen Azure HDInsight-clusterknooppunten te versleutelen Er kan met gegevens worden geknoeid tijdens de overdracht tussen Azure HDInsight-clusterknooppunten. Het inschakelen van versleuteling in transit heeft betrekking op problemen met misbruik en manipulatie tijdens deze verzending. Controleren, Weigeren, Uitgeschakeld 1.0.0
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. Controle, uitgeschakeld 1.0.1
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. Controle, uitgeschakeld 1.0.1
Functie-apps mogen alleen toegankelijk zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Controleren, uitgeschakeld, weigeren 5.0.0
Functie-apps mogen alleen FTPS vereisen FTPS-afdwinging inschakelen voor verbeterde beveiliging. AuditIfNotExists, uitgeschakeld 3.0.0
Functie-apps moeten de nieuwste TLS-versie gebruiken Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 2.1.0
Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 8.2.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking Controleren, Weigeren, Uitgeschakeld 1.0.0
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0
Wachtwoorden beveiligen met versleuteling CMA_0408 - Wachtwoorden beveiligen met versleuteling Handmatig, uitgeschakeld 1.1.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking Controleren, Weigeren, Uitgeschakeld 2.0.0
Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. AuditIfNotExists, uitgeschakeld 4.1.1

Cryptografische of alternatieve fysieke beveiliging

Id: FedRAMP High SC-8 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
App Service-apps mogen alleen toegankelijk zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Controleren, uitgeschakeld, weigeren 4.0.0
App Service-apps mogen alleen FTPS vereisen FTPS-afdwinging inschakelen voor verbeterde beveiliging. AuditIfNotExists, uitgeschakeld 3.0.0
App Service-apps moeten de nieuwste TLS-versie gebruiken Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 2.1.0
Azure HDInsight-clusters moeten versleuteling in transit gebruiken om communicatie tussen Azure HDInsight-clusterknooppunten te versleutelen Er kan met gegevens worden geknoeid tijdens de overdracht tussen Azure HDInsight-clusterknooppunten. Het inschakelen van versleuteling in transit heeft betrekking op problemen met misbruik en manipulatie tijdens deze verzending. Controleren, Weigeren, Uitgeschakeld 1.0.0
Werkstations configureren om te controleren op digitale certificaten CMA_0073 - Werkstations configureren om te controleren op digitale certificaten Handmatig, uitgeschakeld 1.1.0
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. Controle, uitgeschakeld 1.0.1
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. Controle, uitgeschakeld 1.0.1
Functie-apps mogen alleen toegankelijk zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Controleren, uitgeschakeld, weigeren 5.0.0
Functie-apps mogen alleen FTPS vereisen FTPS-afdwinging inschakelen voor verbeterde beveiliging. AuditIfNotExists, uitgeschakeld 3.0.0
Functie-apps moeten de nieuwste TLS-versie gebruiken Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 2.1.0
Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 8.2.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking Controleren, Weigeren, Uitgeschakeld 1.0.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking Controleren, Weigeren, Uitgeschakeld 2.0.0
Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. AuditIfNotExists, uitgeschakeld 4.1.1

Netwerkverbinding verbreken

Id: FedRAMP High SC-10 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een gebruikerssessie opnieuw verifiëren of beëindigen CMA_0421 - Een gebruikerssessie opnieuw verifiëren of beëindigen Handmatig, uitgeschakeld 1.1.0

Instelling en beheer van cryptografische sleutels

Id: FedRAMP High SC-12 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Azure Recovery Services-kluizen moeten door de klant beheerde sleutels gebruiken voor het versleutelen van back-upgegevens Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw back-upgegevens te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/AB-CmkEncryption. Controleren, Weigeren, Uitgeschakeld 1.0.0-preview
[Preview]: IoT Hub Device Provisioning Service-gegevens moeten worden versleuteld met behulp van door de klant beheerde sleutels (CMK) Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw IoT Hub-apparaatinrichtingsservice te beheren. De gegevens worden automatisch in rust versleuteld met door de service beheerde sleutels, maar cmk (door de klant beheerde sleutels) zijn doorgaans vereist om te voldoen aan regelgevingsnalevingsstandaarden. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/dps/CMK. Controleren, Weigeren, Uitgeschakeld 1.0.0-preview
Azure AI Services-resources moeten data-at-rest versleutelen met een door de klant beheerde sleutel (CMK) Door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen, biedt meer controle over de levenscyclus van de sleutel, waaronder rotatie en beheer. Dit is met name relevant voor organisaties met gerelateerde nalevingsvereisten. Dit wordt niet standaard beoordeeld en mag alleen worden toegepast wanneer dit is vereist door nalevings- of beperkende beleidsvereisten. Als dit niet is ingeschakeld, worden de gegevens versleuteld met behulp van door het platform beheerde sleutels. Werk de parameter Effect in het beveiligingsbeleid voor het toepasselijke bereik bij om dit te implementeren. Controleren, Weigeren, Uitgeschakeld 2.2.0
Azure API for FHIR moet een door de klant beheerde sleutel gebruiken om data-at-rest te versleutelen Gebruik een door de klant beheerde sleutel om de versleuteling van data-at-rest te beheren van de gegevens die in Azure API for FHIR zijn opgeslagen als dit een vereiste is vanwege regelgeving of naleving. Door de klant beheerde sleutels bieden ook dubbele versleuteling door een tweede laag versleuteling toe te voegen boven op de standaard die wordt uitgevoerd met door service beheerde sleutels. controle, controle, uitgeschakeld, uitgeschakeld 1.1.0
Azure Automation-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen Gebruik door de klant beheerde sleutels om de versleuteling at rest van uw Azure Automation-accounts te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/automation-cmk. Controleren, Weigeren, Uitgeschakeld 1.0.0
Voor het Azure Batch-account moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van gegevens Gebruik door de klant beheerde sleutels om de versleuteling at rest van de gegevens van uw Batch-account te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/Batch-CMK. Controleren, Weigeren, Uitgeschakeld 1.0.1
Azure Container Instance-containergroep moet een door de klant beheerde sleutel gebruiken voor versleuteling Beveilig uw containers met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. Controleren, uitgeschakeld, weigeren 1.0.0
Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve Azure Cosmos DB te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/cosmosdb-cmk. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Azure Data Box-taken moeten een door de klant beheerde sleutel gebruiken om het wachtwoord voor ontgrendelen van het apparaat te versleutelen Gebruik een door de klant beheerde sleutel om de versleuteling van het wachtwoord voor ontgrendeling van het apparaat voor Azure Data Box te beheren. Door de klant beheerde sleutels helpen u bij het beheren van de toegang tot het wachtwoord voor ontgrendeling van het apparaat door de Data Box-service om het apparaat voor te bereiden en gegevens geautomatiseerd te kopiëren. De gegevens op het apparaat zelf zijn al versleuteld met Advanced Encryption Standard 256-bits-versleuteling en het wachtwoord voor ontgrendeling van het apparaat wordt standaard versleuteld met een door Microsoft beheerde sleutel. Controleren, Weigeren, Uitgeschakeld 1.0.0
Voor Azure Data Explorer-versleuteling at-rest moet een door de klant beheerde sleutel worden gebruikt Als u versleuteling at rest inschakelt waarbij gebruik wordt gemaakt van een door de klant beheerde sleutel in uw Azure Data Explorer-cluster, hebt u meer controle over de sleutel die wordt gebruikt door de versleuteling at rest. Deze functie is vaak van toepassing op klanten met speciale nalevingsvereisten, en vereist een sleutelkluis voor het beheren van de sleutels. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure-gegevensfactory's moeten worden versleuteld met een door de klant beheerde sleutel Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw Azure Data Factory te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/adf-cmk. Controleren, Weigeren, Uitgeschakeld 1.0.1
Azure HDInsight-clusters moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw Azure HDInsight-clusters te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/hdi.cmk. Controleren, Weigeren, Uitgeschakeld 1.0.1
Azure HDInsight-clusters moeten gebruikmaken van versleuteling op host om data-at-rest te versleutelen Door versleuteling op host in te schakelen, kunt u uw gegevens beveiligen en beveiligen om te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Wanneer u versleuteling op de host inschakelt, worden gegevens die zijn opgeslagen op de VM-host in rust versleuteld en stromen versleuteld naar de Storage-service. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel Versleuteling at rest van Azure Machine Learning-werkruimtegegevens beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/azureml-workspaces-cmk. Controleren, Weigeren, Uitgeschakeld 1.1.0
Azure Monitor-logboekclusters moeten worden versleuteld met door de klant beheerde sleutel Maak een Azure Monitor-logboekcluster met versleuteling van door de klant beheerde sleutels. Standaard worden de logboekgegevens versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan naleving van regelgeving. Door de klant beheerde sleutel in Azure Monitor biedt u meer controle over de toegang tot uw gegevens, zie https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Voor Azure Stream Analytics-taken moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van gegevens Gebruik door de klant beheerde sleutels wanneer u metagegevens en persoonlijke gegevensassets van uw Stream Analytics-taken veilig wilt opslaan in uw opslagaccount. Hiermee hebt u volledige controle over hoe uw Stream Analytics-gegevens worden versleuteld. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Voor Azure Synapse-werkruimten moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest Gebruik door de klant beheerde sleutels om de versleuteling 'at rest' van de opgeslagen gegevens in Azure Synapse-werkruimten te beheren. Door de klant beheerde sleutels bieden dubbele versleuteling door een tweede laag versleuteling toe te voegen boven op de standaard versleuteling met door service beheerde sleutels. Controleren, Weigeren, Uitgeschakeld 1.0.0
Bot Service moet worden versleuteld met een door de klant beheerde sleutel Azure Bot Service versleutelt uw resource automatisch om uw gegevens te beschermen en te voldoen aan de beveiligings- en nalevingsverplichtingen van de organisatie. Standaard worden door Microsoft beheerde versleutelingssleutels gebruikt. Voor meer flexibiliteit bij het beheren van sleutels of het beheren van de toegang tot uw abonnement, selecteert u door de klant beheerde sleutels, ook wel bring your own key (BYOK) genoemd. Meer informatie over Azure Bot Service-versleuteling: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels Het versleutelen van besturingssysteem- en gegevensschijven met door de klant beheerde sleutels biedt meer controle en flexibiliteit in sleutelbeheer. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. Controleren, Weigeren, Uitgeschakeld 1.0.1
Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/acr/CMK. Controleren, Weigeren, Uitgeschakeld 1.1.2
Een beheerproces voor fysieke sleutels definiëren CMA_0115 - Een beheerproces voor fysieke sleutels definiëren Handmatig, uitgeschakeld 1.1.0
Cryptografisch gebruik definiëren CMA_0120 - Cryptografisch gebruik definiëren Handmatig, uitgeschakeld 1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren Handmatig, uitgeschakeld 1.1.0
Assertievereisten bepalen CMA_0136 - Assertievereisten bepalen Handmatig, uitgeschakeld 1.1.0
Event Hub-naamruimten moeten een door de klant beheerde sleutel gebruiken voor versleuteling Azure Event Hubs ondersteunt de optie om data-at-rest te versleutelen met door Microsoft beheerde sleutels (standaard) of door de klant beheerde sleutels. Als u ervoor kiest om gegevens te versleutelen met door de klant beheerde sleutels, kunt u de toegang tot de sleutels die Event Hub gebruikt voor het versleutelen van gegevens in uw naamruimte toewijzen, draaien, uitschakelen en intrekken. Event Hub ondersteunt alleen versleuteling met door de klant beheerde sleutels voor naamruimten in toegewezen clusters. Controle, uitgeschakeld 1.0.0
HPC Cache-accounts moeten door de klant beheerde sleutel gebruiken voor versleuteling Versleuteling at rest van Azure HPC Cache beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Controleren, uitgeschakeld, weigeren 2.0.0
Certificaten voor openbare sleutels uitgeven CMA_0347 - Openbare-sleutelcertificaten uitgeven Handmatig, uitgeschakeld 1.1.0
Logic Apps Integration Service Environment moet worden versleuteld met door de klant beheerde sleutels Implementeer in Integration Service Environment om versleuteling at rest van Logic Apps-gegevens te beheren met behulp van door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Controleren, Weigeren, Uitgeschakeld 1.0.0
Symmetrische cryptografische sleutels beheren CMA_0367 - Symmetrische cryptografische sleutels beheren Handmatig, uitgeschakeld 1.1.0
Beheerde schijven moeten dubbel worden versleuteld met zowel door het platform beheerde als door de klant beheerde sleutels Hoge beveiligingsgevoelige klanten die zich zorgen maken over het risico dat gepaard gaat met een bepaald versleutelingsalgoritmen, implementatie of sleutel dat wordt aangetast, kunnen kiezen voor extra versleutelingslaag met behulp van een ander versleutelingsalgoritmen/-modus op de infrastructuurlaag met behulp van door platform beheerde versleutelingssleutels. De schijfversleutelingssets zijn vereist voor het gebruik van dubbele versleuteling. Meer informatie op https://aka.ms/disks-doubleEncryption. Controleren, Weigeren, Uitgeschakeld 1.0.0
MySQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve MySQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. AuditIfNotExists, uitgeschakeld 1.0.4
Besturingssysteem- en gegevensschijven moeten worden versleuteld met een door de klant beheerde sleutel Gebruik door de klant beheerde sleutels om de versleuteling in rust van de inhoud van uw beheerde schijven te beheren. Standaard worden de gegevens in rust versleuteld met door het platform beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan wettelijke nalevingsstandaarden. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/disks-cmk. Controleren, Weigeren, Uitgeschakeld 3.0.0
PostgreSQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve PostgreSQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. AuditIfNotExists, uitgeschakeld 1.0.4
Toegang tot persoonlijke sleutels beperken CMA_0445 - Toegang tot persoonlijke sleutels beperken Handmatig, uitgeschakeld 1.1.0
Opgeslagen query's in Azure Monitor moeten worden opgeslagen in het opslagaccount van de klant voor versleuteling van logboeken Koppel het opslagaccount aan de Log Analytics-werkruimte om opgeslagen query's te beveiligen met opslagaccountversleuteling. Door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan naleving van regelgeving en voor meer controle over de toegang tot uw opgeslagen query's in Azure Monitor. Zie voor meer informatie over het bovenstaande https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Service Bus Premium-naamruimten moeten een door de klant beheerde sleutel gebruiken voor versleuteling Azure Service Bus ondersteunt de optie voor het versleutelen van data-at-rest met door Microsoft beheerde sleutels (standaard) of door de klant beheerde sleutels. Als u gegevens wilt versleutelen met door de klant beheerde sleutels, kunt u de toegang tot de sleutels die Service Bus gebruikt voor het versleutelen van gegevens in uw naamruimte toewijzen, draaien, uitschakelen en intrekken. Service Bus ondersteunt alleen versleuteling met door de klant beheerde sleutels voor Premium-naamruimten. Controle, uitgeschakeld 1.0.0
Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. Controleren, Weigeren, Uitgeschakeld 2.0.0
Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. Controleren, Weigeren, Uitgeschakeld 2.0.1
Versleutelingsbereiken van opslagaccounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen Gebruik door de klant beheerde sleutels om de versleuteling in rust van de versleutelingsbereiken van uw opslagaccount te beheren. Door de klant beheerde sleutels maken het mogelijk om de gegevens te versleutelen met een Azure-sleutelkluissleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie over versleutelingsbereiken voor opslagaccounts vindt u op https://aka.ms/encryption-scopes-overview. Controleren, Weigeren, Uitgeschakeld 1.0.0
Opslagaccounts moeten door de klant beheerde sleutel gebruiken voor versleuteling Beveilig uw blob- en bestandsopslagaccount met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. Controle, uitgeschakeld 1.0.3

Beschikbaarheid

Id: FedRAMP High SC-12 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beschikbaarheid van informatie behouden CMA_C1644 - Beschikbaarheid van informatie behouden Handmatig, uitgeschakeld 1.1.0

Symmetrische sleutels

Id: FedRAMP High SC-12 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Symmetrische cryptografische sleutels produceren, beheren en distribueren CMA_C1645 - Symmetrische cryptografische sleutels produceren, beheren en distribueren Handmatig, uitgeschakeld 1.1.0

Asymmetrische sleutels

Id: FedRAMP High SC-12 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Asymmetrische cryptografische sleutels produceren, beheren en distribueren CMA_C1646 - asymmetrische cryptografische sleutels produceren, beheren en distribueren Handmatig, uitgeschakeld 1.1.0

Cryptografische beveiliging

Id: FedRAMP High SC-13 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Cryptografisch gebruik definiëren CMA_0120 - Cryptografisch gebruik definiëren Handmatig, uitgeschakeld 1.1.0

Samenwerkende computers

Id: FedRAMP High SC-15 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Het gebruik van collaborative computing-apparaten expliciet op de hoogte stellen CMA_C1649: het gebruik van samenwerkingscomputingsapparaten expliciet melden Handmatig, uitgeschakeld 1.1.1
Externe activering van collaborative computing-apparaten verbieden CMA_C1648 - Externe activering van samenwerkingscomputingapparaten verbieden Handmatig, uitgeschakeld 1.1.0

PKI-certificaten (Public Key Infrastructure)

Id: FedRAMP High SC-17 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Certificaten voor openbare sleutels uitgeven CMA_0347 - Openbare-sleutelcertificaten uitgeven Handmatig, uitgeschakeld 1.1.0

Mobiele code

Id: FedRAMP High SC-18 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Het gebruik van mobiele codetechnologieën autoriseren, bewaken en beheren CMA_C1653 - Het gebruik van mobiele codetechnologieën autoriseren, bewaken en beheren Handmatig, uitgeschakeld 1.1.0
Acceptabele en onacceptabele technologieën voor mobiele code definiëren CMA_C1651 - Acceptabele en onacceptabele technologieën voor mobiele code definiëren Handmatig, uitgeschakeld 1.1.0
Gebruiksbeperkingen instellen voor mobiele codetechnologieën CMA_C1652 - Gebruiksbeperkingen instellen voor technologieën voor mobiele code Handmatig, uitgeschakeld 1.1.0

Voice-over-internetprotocol

Id: FedRAMP High SC-19 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voip autoriseren, bewaken en beheren CMA_0025 - Voip autoriseren, bewaken en beheren Handmatig, uitgeschakeld 1.1.0
Voip-gebruiksbeperkingen vaststellen CMA_0280 - Voip-gebruiksbeperkingen instellen Handmatig, uitgeschakeld 1.1.0

Service voor veilige naam-/adresomzetting (gemachtigde bron)

Id: FedRAMP High SC-20 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een fouttolerante naam-/adresservice implementeren CMA_0305 - Een fouttolerante naam/adresservice implementeren Handmatig, uitgeschakeld 1.1.0
Veilige services voor naam- en adresomzetting opgeven CMA_0416 - Veilige naam- en adresomzettingsservices opgeven Handmatig, uitgeschakeld 1.1.0

Secure Name/Address Resolution Service (recursieve of caching resolver)

Id: FedRAMP High SC-21 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een fouttolerante naam-/adresservice implementeren CMA_0305 - Een fouttolerante naam/adresservice implementeren Handmatig, uitgeschakeld 1.1.0
Integriteit van software, firmware en informatie controleren CMA_0542 - Integriteit van software, firmware en informatie controleren Handmatig, uitgeschakeld 1.1.0

Architectuur en inrichting voor naam-/adresomzettingsservice

Id: FedRAMP High SC-22 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een fouttolerante naam-/adresservice implementeren CMA_0305 - Een fouttolerante naam/adresservice implementeren Handmatig, uitgeschakeld 1.1.0

Sessie-echtheid

Id: FedRAMP High SC-23 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Werkstations configureren om te controleren op digitale certificaten CMA_0073 - Werkstations configureren om te controleren op digitale certificaten Handmatig, uitgeschakeld 1.1.0
Willekeurige unieke sessie-id's afdwingen CMA_0247 - Willekeurige unieke sessie-id's afdwingen Handmatig, uitgeschakeld 1.1.0

Sessie-id's bij afmelden ongeldig maken

Id: FedRAMP High SC-23 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Sessie-id's bij afmelden ongeldig maken CMA_C1661 - Sessie-id's ongeldig maken bij afmelding Handmatig, uitgeschakeld 1.1.0

Mislukken in bekende status

Id: FedRAMP High SC-24 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controleren of het informatiesysteem in de bekende status mislukt CMA_C1662 : controleren of het informatiesysteem in de bekende status mislukt Handmatig, uitgeschakeld 1.1.0

Bescherming van data-at-rest

Id: FedRAMP High SC-28 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voor App Service Environment moet interne versleuteling zijn ingeschakeld Als u InternalEncryption instelt op true, worden het paginabestand, werkschijven en intern netwerkverkeer tussen de front-ends en werkrollen in een App Service-omgeving versleuteld. Raadpleeg voor https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptionmeer informatie. Controle, uitgeschakeld 1.0.1
Automation-accountvariabelen moeten worden versleuteld Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens Controleren, Weigeren, Uitgeschakeld 1.1.0
Voor Azure Data Box-taken moet dubbele versleuteling zijn ingeschakeld voor data-at-rest op het apparaat Schakel een tweede laag van op software gebaseerde versleuteling in voor data-at-rest op het apparaat. Het apparaat is al beveiligd via Advanced Encryption Standard 256-bits-versleuteling voor data-at-rest. Met deze optie wordt een tweede laag van gegevensversleuteling toegevoegd. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Monitor-logboekclusters moeten worden gemaakt met infrastructuurversleuteling ingeschakeld (dubbele versleuteling) Gebruik een toegewezen Azure Monitor-cluster om ervoor te zorgen dat beveiligde gegevensversleuteling is ingeschakeld op serviceniveau en het infrastructuurniveau met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Deze optie is standaard ingeschakeld wanneer deze wordt ondersteund in de regio, zie https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Azure Stack Edge-apparaten moeten gebruikmaken van dubbele versleuteling Als u de data-at-rest op het apparaat wilt beveiligen, zorgt u ervoor dat het apparaat dubbel is versleuteld, dat de toegang tot gegevens wordt beheerd, en dat de gegevens veilig zijn gewist op de gegevensschijven zodra het apparaat is gedeactiveerd. Dubbele versleuteling is het gebruik van twee versleutelingslagen: BitLocker XTS-AES 256-bits versleuteling op de gegevensvolumes en ingebouwde versleuteling van de harde schijven. Meer informatie vindt u in de documentatie met het beveiligingsoverzicht voor het specifieke Stack Edge-apparaat. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Schijfversleuteling moet zijn ingeschakeld voor Azure Data Explorer Door schijfversleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. Controleren, Weigeren, Uitgeschakeld 2.0.0
Dubbele versleuteling moet zijn ingeschakeld voor Azure Data Explorer Door dubbele versleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. Wanneer dubbele versleuteling is ingeschakeld, worden de gegevens in het opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met behulp van twee verschillende versleutelingsalgoritmes en twee verschillende sleutels. Controleren, Weigeren, Uitgeschakeld 2.0.0
Een beheerprocedure voor gegevenslekken instellen CMA_0255 - Een beheerprocedure voor gegevenslekken instellen Handmatig, uitgeschakeld 1.1.0
Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for MySQL-servers Schakel infrastructuurversleuteling in voor Azure Database for MySQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutels. Controleren, Weigeren, Uitgeschakeld 1.0.0
Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for PostgreSQL-servers Schakel infrastructuurversleuteling in voor Azure Database for PostgreSQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutels Controleren, Weigeren, Uitgeschakeld 1.0.0
Speciale informatie beveiligen CMA_0409 - Speciale informatie beveiligen Handmatig, uitgeschakeld 1.1.0
Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend Controleren, Weigeren, Uitgeschakeld 1.1.0
Voor opslagaccounts moet versleuteling van infrastructuur zijn ingeschakeld Schakel versleuteling van de infrastructuur in voor een hogere mate van zekerheid dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld. Controleren, Weigeren, Uitgeschakeld 1.0.0
Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host Ter verbetering van de gegevensbeveiliging moeten de gegevens die zijn opgeslagen op de VM-host (virtuele machine) van uw Azure Kubernetes Service-knooppunten, in rust worden versleuteld. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. Controleren, Weigeren, Uitgeschakeld 1.0.1
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten AuditIfNotExists, uitgeschakeld 2.0.0
Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie op https://aka.ms/vm-hbe. Controleren, Weigeren, Uitgeschakeld 1.0.0

Cryptografische beveiliging

Id: FedRAMP High SC-28 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voor App Service Environment moet interne versleuteling zijn ingeschakeld Als u InternalEncryption instelt op true, worden het paginabestand, werkschijven en intern netwerkverkeer tussen de front-ends en werkrollen in een App Service-omgeving versleuteld. Raadpleeg voor https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptionmeer informatie. Controle, uitgeschakeld 1.0.1
Automation-accountvariabelen moeten worden versleuteld Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens Controleren, Weigeren, Uitgeschakeld 1.1.0
Voor Azure Data Box-taken moet dubbele versleuteling zijn ingeschakeld voor data-at-rest op het apparaat Schakel een tweede laag van op software gebaseerde versleuteling in voor data-at-rest op het apparaat. Het apparaat is al beveiligd via Advanced Encryption Standard 256-bits-versleuteling voor data-at-rest. Met deze optie wordt een tweede laag van gegevensversleuteling toegevoegd. Controleren, Weigeren, Uitgeschakeld 1.0.0
Azure Monitor-logboekclusters moeten worden gemaakt met infrastructuurversleuteling ingeschakeld (dubbele versleuteling) Gebruik een toegewezen Azure Monitor-cluster om ervoor te zorgen dat beveiligde gegevensversleuteling is ingeschakeld op serviceniveau en het infrastructuurniveau met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Deze optie is standaard ingeschakeld wanneer deze wordt ondersteund in de regio, zie https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Azure Stack Edge-apparaten moeten gebruikmaken van dubbele versleuteling Als u de data-at-rest op het apparaat wilt beveiligen, zorgt u ervoor dat het apparaat dubbel is versleuteld, dat de toegang tot gegevens wordt beheerd, en dat de gegevens veilig zijn gewist op de gegevensschijven zodra het apparaat is gedeactiveerd. Dubbele versleuteling is het gebruik van twee versleutelingslagen: BitLocker XTS-AES 256-bits versleuteling op de gegevensvolumes en ingebouwde versleuteling van de harde schijven. Meer informatie vindt u in de documentatie met het beveiligingsoverzicht voor het specifieke Stack Edge-apparaat. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 1.1.0
Schijfversleuteling moet zijn ingeschakeld voor Azure Data Explorer Door schijfversleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. Controleren, Weigeren, Uitgeschakeld 2.0.0
Dubbele versleuteling moet zijn ingeschakeld voor Azure Data Explorer Door dubbele versleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. Wanneer dubbele versleuteling is ingeschakeld, worden de gegevens in het opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met behulp van twee verschillende versleutelingsalgoritmes en twee verschillende sleutels. Controleren, Weigeren, Uitgeschakeld 2.0.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0
Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for MySQL-servers Schakel infrastructuurversleuteling in voor Azure Database for MySQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutels. Controleren, Weigeren, Uitgeschakeld 1.0.0
Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for PostgreSQL-servers Schakel infrastructuurversleuteling in voor Azure Database for PostgreSQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutels Controleren, Weigeren, Uitgeschakeld 1.0.0
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0
Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend Controleren, Weigeren, Uitgeschakeld 1.1.0
Voor opslagaccounts moet versleuteling van infrastructuur zijn ingeschakeld Schakel versleuteling van de infrastructuur in voor een hogere mate van zekerheid dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld. Controleren, Weigeren, Uitgeschakeld 1.0.0
Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host Ter verbetering van de gegevensbeveiliging moeten de gegevens die zijn opgeslagen op de VM-host (virtuele machine) van uw Azure Kubernetes Service-knooppunten, in rust worden versleuteld. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. Controleren, Weigeren, Uitgeschakeld 1.0.1
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten AuditIfNotExists, uitgeschakeld 2.0.0
Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie op https://aka.ms/vm-hbe. Controleren, Weigeren, Uitgeschakeld 1.0.0

Procesisolatie

Id: FedRAMP High SC-39 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Afzonderlijke uitvoeringsdomeinen onderhouden voor actieve processen CMA_C1665 : afzonderlijke uitvoeringsdomeinen onderhouden voor actieve processen Handmatig, uitgeschakeld 1.1.0

Systeem- en informatieintegriteit

Beleid en procedures voor systeem- en informatieintegriteit

Id: FedRAMP High SI-1 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Integriteitsbeleid en procedures voor informatieintegriteit controleren en bijwerken CMA_C1667 - Beleid en procedures voor gegevensintegriteit controleren en bijwerken Handmatig, uitgeschakeld 1.1.0

Foutherstel

Id: FedRAMP High SI-2 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. AuditIfNotExists, uitgeschakeld 3.0.0
App Service-apps moeten de nieuwste HTTP-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 4.0.0
Azure Defender voor App Service moet zijn ingeschakeld Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Key Vault moet zijn ingeschakeld Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Functie-apps moeten de nieuwste HTTP-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 4.0.0
Foutherstel opnemen in configuratiebeheer CMA_C1671 - Foutherstel opnemen in configuratiebeheer Handmatig, uitgeschakeld 1.1.0
Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie Voer een upgrade van uw Kubernetes-servicecluster uit naar een nieuwere Kubernetes-versie om het cluster te beschermen tegen bekende beveiligingsproblemen in de huidige Kubernetes-versie. Beveiligingsprobleem CVE-2019-9946 is opgelost in Kubernetes-versies 1.11.9+, 1.12.7+, 1.13.5+ en 1.14.0+ Controle, uitgeschakeld 1.0.2
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage moet zijn ingeschakeld Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. AuditIfNotExists, uitgeschakeld 1.0.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. AuditIfNotExists, uitgeschakeld 4.1.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.1.0

Automatische foutherstelstatus

Id: FedRAMP High SI-2 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Foutherstel automatiseren CMA_0027 - Foutherstel automatiseren Handmatig, uitgeschakeld 1.1.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0

Tijd om fouten/benchmarks voor corrigerende acties op te lossen

Id: FedRAMP High SI-2 (3) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Benchmarks vaststellen voor foutherstel CMA_C1675 - Benchmarks vaststellen voor foutherstel Handmatig, uitgeschakeld 1.1.0
Meet de tijd tussen foutidentificatie en foutherstel CMA_C1674 - Meet de tijd tussen foutidentificatie en foutherstel Handmatig, uitgeschakeld 1.1.0

Bescherming tegen schadelijke code

Id: FedRAMP High SI-3 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). AuditIfNotExists, uitgeschakeld 2.0.0

Centraal beheer

Id: FedRAMP High SI-3 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). AuditIfNotExists, uitgeschakeld 2.0.0

Automatische updates

Id: FedRAMP High SI-3 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0

Detectie op basis van niet-teken

Id: FedRAMP High SI-3 (7) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0

Informatiesysteembewaking

Id: FedRAMP High SI-4 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: Al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie AuditIfNotExists, uitgeschakeld 3.0.0-preview
[Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, uitgeschakeld 6.0.0-preview
[Preview]: De Log Analytics-extensie moet worden geïnstalleerd op uw Linux Azure Arc-machines Met dit beleid worden Linux Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.1-preview
[Preview]: De Log Analytics-extensie moet zijn geïnstalleerd op uw Windows Azure Arc-machines Met dit beleid worden Windows Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. AuditIfNotExists, uitgeschakeld 1.0.1-preview
[Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
[Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. AuditIfNotExists, uitgeschakeld 1.0.2-preview
Azure Defender voor App Service moet zijn ingeschakeld Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor Key Vault moet zijn ingeschakeld Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor Resource Manager moet zijn ingeschakeld Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, uitgeschakeld 1.0.0
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeld 1.0.3
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Microsoft Defender voor Storage moet zijn ingeschakeld Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. AuditIfNotExists, uitgeschakeld 1.0.0
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0
Juridisch advies verkrijgen voor bewakingssysteemactiviteiten CMA_C1688 - Juridisch advies verkrijgen voor bewakingssysteemactiviteiten Handmatig, uitgeschakeld 1.1.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Bewakingsgegevens opgeven indien nodig CMA_C1689 - Bewakingsgegevens opgeven indien nodig Handmatig, uitgeschakeld 1.1.0
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol AuditIfNotExists, uitgeschakeld 1.0.1

Geautomatiseerde hulpprogramma's voor realtime-analyse

Id: FedRAMP High SI-4 (2) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Documentbeveiligingsbewerkingen CMA_0202 - Documentbeveiligingsbewerkingen Handmatig, uitgeschakeld 1.1.0
Sensoren inschakelen voor eindpuntbeveiligingsoplossing CMA_0514 - Sensoren inschakelen voor eindpuntbeveiligingsoplossing Handmatig, uitgeschakeld 1.1.0

Binnenkomend en uitgaand communicatieverkeer

Id: FedRAMP High SI-4 (4) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voip autoriseren, bewaken en beheren CMA_0025 - Voip autoriseren, bewaken en beheren Handmatig, uitgeschakeld 1.1.0
Systeemgrensbescherming implementeren CMA_0328 - Systeemgrensbescherming implementeren Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Verkeer routeren via beheerde netwerktoegangspunten CMA_0484 - Verkeer routeren via beheerde netwerktoegangspunten Handmatig, uitgeschakeld 1.1.0

Door het systeem gegenereerde waarschuwingen

Id: FedRAMP High SI-4 (5) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Waarschuwingspersoneel bij overloop van informatie CMA_0007 - Waarschuwingspersoneel bij overloop van informatie Handmatig, uitgeschakeld 1.1.0
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie Handmatig, uitgeschakeld 1.1.0

Draadloze inbraakdetectie

Id: FedRAMP High SI-4 (14) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsmaatregelen voor draadloze toegang document CMA_C1695 - Beveiligingsmaatregelen voor draadloze toegang document Handmatig, uitgeschakeld 1.1.0

Niet-geautoriseerde netwerkservices

Id: FedRAMP High SI-4 (22) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd Handmatig, uitgeschakeld 1.1.0

Indicatoren van inbreuk

Id: FedRAMP High SI-4 (24) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Eventuele indicatoren van inbreuk detecteren CMA_C1702 - Alle indicatoren van inbreuk detecteren Handmatig, uitgeschakeld 1.1.0

Beveiligingswaarschuwingen, adviezen en richtlijnen

Id: FedRAMP High SI-5 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingswaarschuwingen naar personeel verspreiden CMA_C1705 - Beveiligingswaarschuwingen verspreiden voor personeel Handmatig, uitgeschakeld 1.1.0
Een bedreigingsinformatieprogramma opzetten CMA_0260 - Een programma voor bedreigingsinformatie instellen Handmatig, uitgeschakeld 1.1.0
Interne beveiligingswaarschuwingen genereren CMA_C1704 - Interne beveiligingswaarschuwingen genereren Handmatig, uitgeschakeld 1.1.0
Beveiligingsrichtlijnen implementeren CMA_C1706 - Beveiligingsrichtlijnen implementeren Handmatig, uitgeschakeld 1.1.0

Geautomatiseerde waarschuwingen en adviezen

Id: FedRAMP High SI-5 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Geautomatiseerde mechanismen gebruiken voor beveiligingswaarschuwingen CMA_C1707 - Geautomatiseerde mechanismen gebruiken voor beveiligingswaarschuwingen Handmatig, uitgeschakeld 1.1.0

Verificatie van beveiligingsfuncties

Id: FedRAMP High SI-6 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Alternatieve acties maken voor geïdentificeerde afwijkingen CMA_C1711 - Alternatieve acties maken voor geïdentificeerde afwijkingen Handmatig, uitgeschakeld 1.1.0
Personeel op de hoogte stellen van mislukte beveiligingsverificatietests CMA_C1710 - Personeel op de hoogte stellen van mislukte beveiligingsverificatietests Handmatig, uitgeschakeld 1.1.0
Verificatie van beveiligingsfuncties uitvoeren met een gedefinieerde frequentie CMA_C1709 - Verificatie van beveiligingsfuncties uitvoeren met een gedefinieerde frequentie Handmatig, uitgeschakeld 1.1.0
Beveiligingsfuncties controleren CMA_C1708 - Beveiligingsfuncties controleren Handmatig, uitgeschakeld 1.1.0

Integriteit van software, firmware en informatie

Id: FedRAMP High SI-7 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Integriteit van software, firmware en informatie controleren CMA_0542 - Integriteit van software, firmware en informatie controleren Handmatig, uitgeschakeld 1.1.0

Integriteitscontroles

Id: FedRAMP High SI-7 (1) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Integriteit van software, firmware en informatie controleren CMA_0542 - Integriteit van software, firmware en informatie controleren Handmatig, uitgeschakeld 1.1.0
Diagnostische gegevens van het systeem weergeven en configureren CMA_0544 - Diagnostische gegevens van het systeem weergeven en configureren Handmatig, uitgeschakeld 1.1.0

Geautomatiseerde reactie op schendingen van integriteit

Id: FedRAMP High SI-7 (5) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Automatisch afsluiten/opnieuw opstarten gebruiken wanneer schendingen worden gedetecteerd CMA_C1715 - Automatisch afsluiten/opnieuw opstarten gebruiken wanneer schendingen worden gedetecteerd Handmatig, uitgeschakeld 1.1.0

Uitvoerbare code van binaire of machine

Id: FedRAMP High SI-7 (14) Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Binaire/machine-uitvoerbare code verbieden CMA_C1717 - Binaire/machine-uitvoerbare code verbieden Handmatig, uitgeschakeld 1.1.0

Gegevensinvoervalidatie

Id: FedRAMP High SI-10 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Gegevensinvoervalidatie uitvoeren CMA_C1723 - Gegevensinvoervalidatie uitvoeren Handmatig, uitgeschakeld 1.1.0

Foutafhandeling

Id: FedRAMP High SI-11 Eigendom: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Foutberichten genereren CMA_C1724 - Foutberichten genereren Handmatig, uitgeschakeld 1.1.0
Foutberichten weergeven CMA_C1725 - Foutberichten weergeven Handmatig, uitgeschakeld 1.1.0

Verwerking en retentie van informatie

Id: FedRAMP High SI-12 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fysieke toegang beheren CMA_0081 - Fysieke toegang beheren Handmatig, uitgeschakeld 1.1.0
De invoer, uitvoer, verwerking en opslag van gegevens beheren CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren Handmatig, uitgeschakeld 1.1.0
Labelactiviteit en -analyse controleren CMA_0474 - Labelactiviteit en -analyse controleren Handmatig, uitgeschakeld 1.1.0

Geheugenbeveiliging

Id: FedRAMP High SI-16 Ownership: Shared

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). AuditIfNotExists, uitgeschakeld 2.0.0

Volgende stappen

Aanvullende artikelen over Azure Policy: