Details van het ingebouwde initiatief Voor systeem- en organisatiebeheer (SOC) 2 (Azure Government) naleving van regelgeving
In het volgende artikel wordt beschreven hoe de ingebouwde initiatiefdefinitie naleving van Azure Policy-regelgeving wordt toegewezen aan nalevingsdomeinen en -controles in SOC 2 (System and Organization Controls) 2 (Azure Government). Zie Systeem- en organisatiebeheer (SOC) 2 voor meer informatie over deze nalevingsstandaard. Als u het eigendom wilt begrijpen, bekijkt u het beleidstype en de gedeelde verantwoordelijkheid in de cloud.
De volgende toewijzingen zijn voor de SOC-besturingselementen (System and Organization Controls) 2 . Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities. Zoek en selecteer vervolgens de ingebouwde initiatiefdefinitie SOC 2 Type 2 Regulatory Compliance.
Belangrijk
Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.
Aanvullende criteria voor beschikbaarheid
Capaciteitsbeheer
Id: SOC 2 Type 2 A1.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Capaciteitsplanning uitvoeren | CMA_C1252 - Capaciteitsplanning uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Omgevingsbeveiligingen, software, back-upprocessen voor gegevens en herstelinfrastructuur
Id: SOC 2 Type 2 A1.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Backup moet zijn ingeschakeld voor virtuele machines | Zorg ervoor dat uw virtuele Azure-machines worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Automatische noodverlichting gebruiken | CMA_0209 - Automatische noodverlichting gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| Een alternatieve verwerkingssite tot stand brengen | CMA_0262 - Een alternatieve verwerkingssite tot stand brengen | Handmatig, uitgeschakeld | 1.1.0 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB | Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL | Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL | Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Een methodologie voor penetratietests implementeren | CMA_0306 - Een penetratietestmethodologie implementeren | Handmatig, uitgeschakeld | 1.1.0 |
| Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | Handmatig, uitgeschakeld | 1.1.0 |
| Een alarmsysteem installeren | CMA_0338 - Een alarmsysteem installeren | Handmatig, uitgeschakeld | 1.1.0 |
| Resources herstellen en reconstitueren na eventuele onderbrekingen | CMA_C1295 - Resources herstellen en reconstitueren na eventuele onderbrekingen | Handmatig, uitgeschakeld | 1.1.1 |
| Simulatieaanvallen uitvoeren | CMA_0486 - Simulatieaanvallen uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Back-upgegevens afzonderlijk opslaan | CMA_C1293 - Back-upgegevens afzonderlijk opslaan | Handmatig, uitgeschakeld | 1.1.0 |
| Back-upgegevens overdragen naar een alternatieve opslagsite | CMA_C1294 - Back-upgegevens overdragen naar een alternatieve opslagsite | Handmatig, uitgeschakeld | 1.1.0 |
Testen van herstelplan
Id: SOC 2 Type 2 A1.3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen | CMA_0086 - Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen | Handmatig, uitgeschakeld | 1.1.0 |
| Plan voor onvoorziene gebeurtenissen starten om corrigerende acties te testen | CMA_C1263 - Een plan voor onvoorziene gebeurtenissen starten om corrigerende acties te testen | Handmatig, uitgeschakeld | 1.1.0 |
| Bekijk de resultaten van het testen van het plan voor onvoorziene gebeurtenissen | CMA_C1262 - Bekijk de resultaten van het testen van onvoorziene gebeurtenissen | Handmatig, uitgeschakeld | 1.1.0 |
| Het plan voor bedrijfscontinuïteit en herstel na noodgevallen testen | CMA_0509 - Het plan voor bedrijfscontinuïteit en herstel na noodgevallen testen | Handmatig, uitgeschakeld | 1.1.0 |
Aanvullende criteria voor vertrouwelijkheid
Bescherming van vertrouwelijke informatie
Id: SOC 2 Type 2 C1.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Fysieke toegang beheren | CMA_0081 - Fysieke toegang beheren | Handmatig, uitgeschakeld | 1.1.0 |
| De invoer, uitvoer, verwerking en opslag van gegevens beheren | CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Labelactiviteit en -analyse controleren | CMA_0474 - Labelactiviteit en -analyse controleren | Handmatig, uitgeschakeld | 1.1.0 |
Verwijdering van vertrouwelijke informatie
Id: SOC 2 Type 2 C1.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Fysieke toegang beheren | CMA_0081 - Fysieke toegang beheren | Handmatig, uitgeschakeld | 1.1.0 |
| De invoer, uitvoer, verwerking en opslag van gegevens beheren | CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Labelactiviteit en -analyse controleren | CMA_0474 - Labelactiviteit en -analyse controleren | Handmatig, uitgeschakeld | 1.1.0 |
Controleomgeving
COSO-principe 1
Id: SOC 2 Type 2 CC1.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Beleid en procedures voor acceptabel gebruik ontwikkelen | CMA_0143 - Beleid en procedures voor acceptabel gebruik ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Organisatiecode van gedragsbeleid ontwikkelen | CMA_0159 - Organisatiecode van gedragsbeleid ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Documenteer personeelsacceptatie van privacyvereisten | CMA_0193 - Documenteer personeelsacceptatie van privacyvereisten | Handmatig, uitgeschakeld | 1.1.0 |
| Regels voor gedrag en toegangsovereenkomsten afdwingen | CMA_0248 - Regels voor gedrag en toegangsovereenkomsten afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Oneerlijke praktijken verbieden | CMA_0396 - Oneerlijke praktijken verbieden | Handmatig, uitgeschakeld | 1.1.0 |
| Herziene gedragsregels controleren en ondertekenen | CMA_0465 - Herziene gedragsregels controleren en ondertekenen | Handmatig, uitgeschakeld | 1.1.0 |
| Regels voor gedrag en toegangsovereenkomsten bijwerken | CMA_0521 - Regels voor gedrag en toegangsovereenkomsten bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
| Regels voor gedrag en toegangsovereenkomsten om de 3 jaar bijwerken | CMA_0522 - Updateregels voor gedrag en toegangsovereenkomsten om de 3 jaar | Handmatig, uitgeschakeld | 1.1.0 |
COSO-principe 2
Id: SOC 2 Type 2 CC1.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een senior informatiebeveiligingsmedewerker benoemen | CMA_C1733 - Een senior informatiebeveiligingsmedewerker benoemen | Handmatig, uitgeschakeld | 1.1.0 |
| Een systeembeveiligingsplan ontwikkelen en opzetten | CMA_0151 - Een systeembeveiligingsplan ontwikkelen en opzetten | Handmatig, uitgeschakeld | 1.1.0 |
| Een strategie voor risicobeheer vaststellen | CMA_0258 - Een strategie voor risicobeheer instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsvereisten instellen voor de productie van verbonden apparaten | CMA_0279 : beveiligingsvereisten instellen voor de productie van verbonden apparaten | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingstechniekprincipes van informatiesystemen implementeren | CMA_0325 - Beveiligingstechniekprincipes van informatiesystemen implementeren | Handmatig, uitgeschakeld | 1.1.0 |
COSO-principe 3
Id: SOC 2 Type 2 CC1.3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een senior informatiebeveiligingsmedewerker benoemen | CMA_C1733 - Een senior informatiebeveiligingsmedewerker benoemen | Handmatig, uitgeschakeld | 1.1.0 |
| Een systeembeveiligingsplan ontwikkelen en opzetten | CMA_0151 - Een systeembeveiligingsplan ontwikkelen en opzetten | Handmatig, uitgeschakeld | 1.1.0 |
| Een strategie voor risicobeheer vaststellen | CMA_0258 - Een strategie voor risicobeheer instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsvereisten instellen voor de productie van verbonden apparaten | CMA_0279 : beveiligingsvereisten instellen voor de productie van verbonden apparaten | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingstechniekprincipes van informatiesystemen implementeren | CMA_0325 - Beveiligingstechniekprincipes van informatiesystemen implementeren | Handmatig, uitgeschakeld | 1.1.0 |
COSO-principe 4
Id: SOC 2 Type 2 CC1.4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Periodieke beveiligingstraining op basis van rollen bieden | CMA_C1095 - Periodieke beveiligingstraining op basis van rollen bieden | Handmatig, uitgeschakeld | 1.1.0 |
| Periodieke training voor beveiligingsbewustzijn bieden | CMA_C1091 - Periodieke training voor beveiligingsbewustzijn bieden | Handmatig, uitgeschakeld | 1.1.0 |
| Praktische oefeningen op basis van rollen bieden | CMA_C1096 - Praktische oefeningen op basis van rollen bieden | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingstraining bieden voordat u toegang verleent | CMA_0418 - Beveiligingstraining bieden voordat u toegang verleent | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingstraining bieden voor nieuwe gebruikers | CMA_0419 - Beveiligingstraining bieden voor nieuwe gebruikers | Handmatig, uitgeschakeld | 1.1.0 |
COSO-principe 5
Id: SOC 2 Type 2 CC1.5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Beleid en procedures voor acceptabel gebruik ontwikkelen | CMA_0143 - Beleid en procedures voor acceptabel gebruik ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Regels voor gedrag en toegangsovereenkomsten afdwingen | CMA_0248 - Regels voor gedrag en toegangsovereenkomsten afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Formeel sanctieproces implementeren | CMA_0317 - Formeel sanctieproces implementeren | Handmatig, uitgeschakeld | 1.1.0 |
| Personeel op de hoogte stellen van sancties | CMA_0380 - Personeel op de hoogte stellen van sancties | Handmatig, uitgeschakeld | 1.1.0 |
Communicatie en informatie
COSO-principe 13
Id: SOC 2 Type 2 CC2.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Fysieke toegang beheren | CMA_0081 - Fysieke toegang beheren | Handmatig, uitgeschakeld | 1.1.0 |
| De invoer, uitvoer, verwerking en opslag van gegevens beheren | CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Labelactiviteit en -analyse controleren | CMA_0474 - Labelactiviteit en -analyse controleren | Handmatig, uitgeschakeld | 1.1.0 |
COSO-principe 14
Id: SOC 2 Type 2 CC2.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Beleid en procedures voor acceptabel gebruik ontwikkelen | CMA_0143 - Beleid en procedures voor acceptabel gebruik ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Regels voor gedrag en toegangsovereenkomsten afdwingen | CMA_0248 - Regels voor gedrag en toegangsovereenkomsten afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Periodieke beveiligingstraining op basis van rollen bieden | CMA_C1095 - Periodieke beveiligingstraining op basis van rollen bieden | Handmatig, uitgeschakeld | 1.1.0 |
| Periodieke training voor beveiligingsbewustzijn bieden | CMA_C1091 - Periodieke training voor beveiligingsbewustzijn bieden | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingstraining bieden voordat u toegang verleent | CMA_0418 - Beveiligingstraining bieden voordat u toegang verleent | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingstraining bieden voor nieuwe gebruikers | CMA_0419 - Beveiligingstraining bieden voor nieuwe gebruikers | Handmatig, uitgeschakeld | 1.1.0 |
| Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
COSO-principe 15
Id: SOC 2 Type 2 CC2.3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| De taken van processors definiëren | CMA_0127 - De taken van processors definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Resultaten van beveiligingsevaluatie leveren | CMA_C1147 - Resultaten van beveiligingsevaluatie leveren | Handmatig, uitgeschakeld | 1.1.0 |
| Een systeembeveiligingsplan ontwikkelen en opzetten | CMA_0151 - Een systeembeveiligingsplan ontwikkelen en opzetten | Handmatig, uitgeschakeld | 1.1.0 |
| E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Beveiligingsvereisten instellen voor de productie van verbonden apparaten | CMA_0279 : beveiligingsvereisten instellen voor de productie van verbonden apparaten | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsvereisten voor personeel van derden vaststellen | CMA_C1529 - Beveiligingsvereisten voor personeel van derden vaststellen | Handmatig, uitgeschakeld | 1.1.0 |
| Leveringsmethoden voor privacyverklaring implementeren | CMA_0324 - Leveringsmethoden voor privacyverklaring implementeren | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingstechniekprincipes van informatiesystemen implementeren | CMA_0325 - Beveiligingstechniekprincipes van informatiesystemen implementeren | Handmatig, uitgeschakeld | 1.1.0 |
| Rapport Beveiligingsevaluatie produceren | CMA_C1146 - Rapport Beveiligingsevaluatie produceren | Handmatig, uitgeschakeld | 1.1.0 |
| Privacyverklaring opgeven | CMA_0414 - Privacyverklaring opgeven | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisen dat externe providers voldoen aan beveiligingsbeleid en procedures voor personeel | CMA_C1530 - Vereisen dat externe providers voldoen aan het beveiligingsbeleid en de procedures voor personeelsbeveiliging | Handmatig, uitgeschakeld | 1.1.0 |
| Communicatie beperken | CMA_0449 - Communicatie beperken | Handmatig, uitgeschakeld | 1.1.0 |
| Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Risicobeoordeling
COSO-principe 6
Id: SOC 2 Type 2 CC3.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Gegevens categoriseren | CMA_0052 - Gegevens categoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisten voor gegevensbeveiliging bepalen | CMA_C1750 - Bepaal de behoeften voor gegevensbeveiliging | Handmatig, uitgeschakeld | 1.1.0 |
| Bedrijfsclassificatieschema's ontwikkelen | CMA_0155 - Bedrijfsclassificatieschema's ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| SSP ontwikkelen die voldoet aan criteria | CMA_C1492 - SSP ontwikkelen die voldoet aan criteria | Handmatig, uitgeschakeld | 1.1.0 |
| Een strategie voor risicobeheer vaststellen | CMA_0258 - Een strategie voor risicobeheer instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Een risicoanalyse uitvoeren | CMA_0388 - Een risicoanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Labelactiviteit en -analyse controleren | CMA_0474 - Labelactiviteit en -analyse controleren | Handmatig, uitgeschakeld | 1.1.0 |
COSO-principe 7
Id: SOC 2 Type 2 CC3.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Gegevens categoriseren | CMA_0052 - Gegevens categoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisten voor gegevensbeveiliging bepalen | CMA_C1750 - Bepaal de behoeften voor gegevensbeveiliging | Handmatig, uitgeschakeld | 1.1.0 |
| Bedrijfsclassificatieschema's ontwikkelen | CMA_0155 - Bedrijfsclassificatieschema's ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Een strategie voor risicobeheer vaststellen | CMA_0258 - Een strategie voor risicobeheer instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Een risicoanalyse uitvoeren | CMA_0388 - Een risicoanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
| Labelactiviteit en -analyse controleren | CMA_0474 - Labelactiviteit en -analyse controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance | Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers | Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
COSO-principe 8
Id: SOC 2 Type 2 CC3.3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een risicoanalyse uitvoeren | CMA_0388 - Een risicoanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
COSO-principe 9
Id: SOC 2 Type 2 CC3.4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Risico's beoordelen in relaties van derden | CMA_0014 - Risico's beoordelen in relaties van derden | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisten definiëren voor het leveren van goederen en diensten | CMA_0126 - Vereisten voor het leveren van goederen en diensten definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Contractverplichtingen van leveranciers bepalen | CMA_0140 - Contractverplichtingen van leveranciers bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Een strategie voor risicobeheer vaststellen | CMA_0258 - Een strategie voor risicobeheer instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Beleid opstellen voor toeleveringsketenrisicobeheer | CMA_0275 - Beleid voor toeleveringsketenrisicobeheer instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Een risicoanalyse uitvoeren | CMA_0388 - Een risicoanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Bewakingsactiviteiten
COSO-principe 16
Id: SOC 2 Type 2 CC4.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Beveiligingscontroles evalueren | CMA_C1145 - Beveiligingscontroles evalueren | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsevaluatieplan ontwikkelen | CMA_C1144 - Beveiligingsevaluatieplan ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Aanvullende tests selecteren voor evaluaties van beveiligingsbeheer | CMA_C1149 - Aanvullende tests selecteren voor evaluaties van beveiligingsbeheer | Handmatig, uitgeschakeld | 1.1.0 |
COSO-principe 17
Id: SOC 2 Type 2 CC4.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Resultaten van beveiligingsevaluatie leveren | CMA_C1147 - Resultaten van beveiligingsevaluatie leveren | Handmatig, uitgeschakeld | 1.1.0 |
| Rapport Beveiligingsevaluatie produceren | CMA_C1146 - Rapport Beveiligingsevaluatie produceren | Handmatig, uitgeschakeld | 1.1.0 |
Activiteiten beheren
COSO-principe 10
Id: SOC 2 Type 2 CC5.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een strategie voor risicobeheer vaststellen | CMA_0258 - Een strategie voor risicobeheer instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Een risicoanalyse uitvoeren | CMA_0388 - Een risicoanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
COSO-principe 11
Id: SOC 2 Type 2 CC5.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement | Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een model voor toegangsbeheer ontwerpen | CMA_0129 - Een model voor toegangsbeheer ontwerpen | Handmatig, uitgeschakeld | 1.1.0 |
| Contractverplichtingen van leveranciers bepalen | CMA_0140 - Contractverplichtingen van leveranciers bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Acceptatiecriteria voor overnamecontract documenteren | CMA_0187 - Acceptatiecriteria voor documentaankoopcontract | Handmatig, uitgeschakeld | 1.1.0 |
| Documentbescherming van persoonsgegevens in overnamecontracten | CMA_0194 - Documentbescherming van persoonsgegevens in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documentbescherming van beveiligingsgegevens in overnamecontracten | CMA_0195 - Documentbescherming van beveiligingsgegevens in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documentvereisten voor het gebruik van gedeelde gegevens in contracten | CMA_0197 - Documentvereisten voor het gebruik van gedeelde gegevens in contracten | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisten voor beveiligingscontrole in overnamecontracten documenteer | CMA_0199 - Vereisten voor beveiligingscontrole vastleggen in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documentbeveiligingsdocumentatievereisten in overnamecontract | CMA_0200 - Documentbeveiligingsdocumentatievereisten in overnamecontract | Handmatig, uitgeschakeld | 1.1.0 |
| Functionele vereisten voor beveiliging documentleren in overnamecontracten | CMA_0201 - Functionele vereisten voor beveiliging document in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisten voor beveiligingssterkte documenteer in overnamecontracten | CMA_0203 - Vereisten voor beveiligingssterkte documenteer in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documenteer de informatiesysteemomgeving in overnamecontracten | CMA_0205 - Documenteer de informatiesysteemomgeving in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden | CMA_0207 - Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden | Handmatig, uitgeschakeld | 1.1.0 |
| Minimale toegang tot bevoegdheden gebruiken | CMA_0212 - Toegang tot minimale bevoegdheden gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een risicoanalyse uitvoeren | CMA_0388 - Een risicoanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement | Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
COSO-principe 12
Id: SOC 2 Type 2 CC5.3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Whitelist voor detectie configureren | CMA_0068 - Whitelist voor detectie configureren | Handmatig, uitgeschakeld | 1.1.0 |
| Een risicoanalyse uitvoeren | CMA_0388 - Een risicoanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Sensoren inschakelen voor eindpuntbeveiligingsoplossing | CMA_0514 - Sensoren inschakelen voor eindpuntbeveiligingsoplossing | Handmatig, uitgeschakeld | 1.1.0 |
| Onafhankelijke beveiligingsbeoordeling ondergaan | CMA_0515 - Onafhankelijke beveiligingsbeoordeling ondergaan | Handmatig, uitgeschakeld | 1.1.0 |
Besturingselementen voor logische en fysieke toegang
Beveiligingssoftware, infrastructuur en architecturen voor logische toegang
Id: SOC 2 Type 2 CC6.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement | Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Biometrische verificatiemechanismen aannemen | CMA_0005 - Biometrische verificatiemechanismen aannemen | Handmatig, uitgeschakeld | 1.1.0 |
| Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| App Service-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 4.0.0 |
| App Service-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist | Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, uitgeschakeld | 2.4.0 |
| Toegang tot beveiligingsfuncties en -informatie autoriseren | CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang autoriseren en beheren | CMA_0023 - Toegang autoriseren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Externe toegang autoriseren | CMA_0024 - Externe toegang autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Automation-accountvariabelen moeten worden versleuteld | Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Azure AI Services-resources moeten data-at-rest versleutelen met een door de klant beheerde sleutel (CMK) | Door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen, biedt meer controle over de levenscyclus van de sleutel, waaronder rotatie en beheer. Dit is met name relevant voor organisaties met gerelateerde nalevingsvereisten. Dit wordt niet standaard beoordeeld en mag alleen worden toegepast wanneer dit is vereist door nalevings- of beperkende beleidsvereisten. Als dit niet is ingeschakeld, worden de gegevens versleuteld met behulp van door het platform beheerde sleutels. Werk de parameter Effect in het beveiligingsbeleid voor het toepasselijke bereik bij om dit te implementeren. | Controleren, Weigeren, Uitgeschakeld | 2.2.0 |
| Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve Azure Cosmos DB te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/cosmosdb-cmk. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel | Versleuteling at rest van Azure Machine Learning-werkruimtegegevens beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/azureml-workspaces-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/acr/CMK. | Controleren, Weigeren, Uitgeschakeld | 1.1.2 |
| Informatiestroom beheren | CMA_0079 - Informatiestroom beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Fysieke toegang beheren | CMA_0081 - Fysieke toegang beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Een gegevensinventaris maken | CMA_0096 - Een gegevensinventaris maken | Handmatig, uitgeschakeld | 1.1.0 |
| Een beheerproces voor fysieke sleutels definiëren | CMA_0115 - Een beheerproces voor fysieke sleutels definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Cryptografisch gebruik definiëren | CMA_0120 - Cryptografisch gebruik definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Organisatievereisten definiëren voor cryptografisch sleutelbeheer | CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Een model voor toegangsbeheer ontwerpen | CMA_0129 - Een model voor toegangsbeheer ontwerpen | Handmatig, uitgeschakeld | 1.1.0 |
| Assertievereisten bepalen | CMA_0136 - Assertievereisten bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Training voor documentmobiliteit | CMA_0191 - Training voor documentmobiliteit | Handmatig, uitgeschakeld | 1.1.0 |
| Richtlijnen voor externe toegang document | CMA_0196 - Richtlijnen voor externe toegang document | Handmatig, uitgeschakeld | 1.1.0 |
| Mechanismen voor stroombeheer van versleutelde informatie gebruiken | CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| Minimale toegang tot bevoegdheden gebruiken | CMA_0212 - Toegang tot minimale bevoegdheden gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| Logische toegang afdwingen | CMA_0245 - Logische toegang afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Verplicht en discretionair toegangsbeheerbeleid afdwingen | CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers | Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers | Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
| Een beheerprocedure voor gegevenslekken instellen | CMA_0255 - Een beheerprocedure voor gegevenslekken instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Configuratiestandaarden voor firewall en router instellen | CMA_0272 - Configuratiestandaarden voor firewall en router instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Netwerksegmentatie instellen voor kaarthoudergegevensomgeving | CMA_0273 - Netwerksegmentatie instellen voor de gegevensomgeving van de kaarthouder | Handmatig, uitgeschakeld | 1.1.0 |
| Functie-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 5.0.0 |
| Functie-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Downstreaminformatie-uitwisselingen identificeren en beheren | CMA_0298 : downstreaminformatieuitwisseling identificeren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Besturingselementen implementeren om alternatieve werksites te beveiligen | CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | CMA_0323 - Fysieke beveiliging implementeren voor kantoren, werkgebieden en beveiligde gebieden | Handmatig, uitgeschakeld | 1.1.0 |
| Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Certificaten voor openbare sleutels uitgeven | CMA_0347 - Openbare-sleutelcertificaten uitgeven | Handmatig, uitgeschakeld | 1.1.0 |
| Voor sleutelkluizen moet verwijderingsbeveiliging zijn ingeschakeld | Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies. U kunt permanent gegevensverlies voorkomen door beveiliging tegen opschonen en voorlopig verwijderen in te schakelen. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. Houd er rekening mee dat sleutelkluizen die na 1 september 2019 zijn gemaakt, standaard voorlopig verwijderen zijn ingeschakeld. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen | Als u een sleutelkluis verwijdert zonder dat de functie voor voorlopig verwijderen is ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis permanent verwijderd. Onbedoeld verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Met voorlopig verwijderen kunt u een per ongeluk verwijderde sleutelkluis herstellen voor een configureerbare bewaarperiode. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
| Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.1.0 |
| Records bijhouden van de verwerking van persoonsgegevens | CMA_0353 - Records van de verwerking van persoonsgegevens bijhouden | Handmatig, uitgeschakeld | 1.1.0 |
| Symmetrische cryptografische sleutels beheren | CMA_0367 - Symmetrische cryptografische sleutels beheren | Handmatig, uitgeschakeld | 1.1.0 |
| De invoer, uitvoer, verwerking en opslag van gegevens beheren | CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Gebruikers op de hoogte stellen van systeemaanmelding of -toegang | CMA_0382 - Gebruikers op de hoogte stellen van systeemaanmelding of -toegang | Handmatig, uitgeschakeld | 1.1.0 |
| Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld | Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Speciale informatie beveiligen | CMA_0409 - Speciale informatie beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Privacytraining bieden | CMA_0415 - Privacytraining bieden | Handmatig, uitgeschakeld | 1.1.0 |
| Goedkeuring vereisen voor het maken van een account | CMA_0431 - Goedkeuring vereisen voor het maken van accounts | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang tot persoonlijke sleutels beperken | CMA_0445 - Toegang tot persoonlijke sleutels beperken | Handmatig, uitgeschakeld | 1.1.0 |
| Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld | Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign | Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
| Het opslagaccount met de container met activiteitenlogboeken moet worden versleuteld met BYOK | Dit beleid controleert of het opslagaccount met de container met activiteitenlogboeken is versleuteld met BYOK. Het beleid werkt alleen als het opslagaccount is gebaseerd op hetzelfde abonnement als voor activiteitenlogboeken. Meer informatie over Azure Storage-versleuteling in rust vindt u hier https://aka.ms/azurestoragebyok. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw blob- en bestandsopslagaccount met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controle, uitgeschakeld | 1.0.3 |
| Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement | Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Transparent Data Encryption in SQL-databases moet zijn ingeschakeld | Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, uitgeschakeld | 3.0.1 |
Toegang tot inrichting en verwijdering
Id: SOC 2 Type 2 CC6.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Accountbeheerders toewijzen | CMA_0015 - Accountmanagers toewijzen | Handmatig, uitgeschakeld | 1.1.0 |
| Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Toegangsbevoegdheden voor documenten | CMA_0186 - Toegangsrechten voor documenten | Handmatig, uitgeschakeld | 1.1.0 |
| Voorwaarden instellen voor rollidmaatschap | CMA_0269 - Voorwaarden voor rollidmaatschap instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Goedkeuring vereisen voor het maken van een account | CMA_0431 - Goedkeuring vereisen voor het maken van accounts | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang tot bevoegde accounts beperken | CMA_0446 - Toegang tot bevoegde accounts beperken | Handmatig, uitgeschakeld | 1.1.0 |
| Accountinrichtingslogboeken controleren | CMA_0460 - Accountinrichtingslogboeken controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Gebruikersaccounts controleren | CMA_0480 - Gebruikersaccounts controleren | Handmatig, uitgeschakeld | 1.1.0 |
Op Rollen gebaseerde toegang en minimale bevoegdheid
Id: SOC 2 Type 2 CC6.3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement | Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Bevoegde functies controleren | CMA_0019 - Bevoegde functies controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Gebruik van aangepaste RBAC-rollen controleren | Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering | Controle, uitgeschakeld | 1.0.1 |
| Status van gebruikersaccount controleren | CMA_0020 - Status van gebruikersaccount controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een model voor toegangsbeheer ontwerpen | CMA_0129 - Een model voor toegangsbeheer ontwerpen | Handmatig, uitgeschakeld | 1.1.0 |
| Minimale toegang tot bevoegdheden gebruiken | CMA_0212 - Toegang tot minimale bevoegdheden gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Bevoorrechte roltoewijzing bewaken | CMA_0378 - Bevoorrechte roltoewijzing bewaken | Handmatig, uitgeschakeld | 1.1.0 |
| Toegang tot bevoegde accounts beperken | CMA_0446 - Toegang tot bevoegde accounts beperken | Handmatig, uitgeschakeld | 1.1.0 |
| Accountinrichtingslogboeken controleren | CMA_0460 - Accountinrichtingslogboeken controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Gebruikersaccounts controleren | CMA_0480 - Gebruikersaccounts controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Gebruikersbevoegdheden controleren | CMA_C1039 - Gebruikersbevoegdheden controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Bevoorrechte rollen intrekken, indien van toepassing | CMA_0483 - Bevoegde rollen intrekken, indien van toepassing | Handmatig, uitgeschakeld | 1.1.0 |
| Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services | Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om de machtigingen in Kubernetes Service-clusters te beheren en het relevante autorisatiebeleid te configureren om gedetailleerde filters te bieden voor de acties die gebruikers kunnen uitvoeren. | Controle, uitgeschakeld | 1.0.4 |
| Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement | Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Privileged Identity Management gebruiken | CMA_0533 - Privileged Identity Management gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
Beperkte fysieke toegang
Id: SOC 2 Type 2 CC6.4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Fysieke toegang beheren | CMA_0081 - Fysieke toegang beheren | Handmatig, uitgeschakeld | 1.1.0 |
Logische en fysieke beveiliging via fysieke assets
Id: SOC 2 Type 2 CC6.5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een mechanisme voor het opschonen van media gebruiken | CMA_0208 - Een mechanisme voor media-opschoning gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
Beveiligingsmaatregelen tegen bedreigingen buiten systeemgrenzen
Id: SOC 2 Type 2 CC6.6 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Biometrische verificatiemechanismen aannemen | CMA_0005 - Biometrische verificatiemechanismen aannemen | Handmatig, uitgeschakeld | 1.1.0 |
| Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| App Service-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 4.0.0 |
| App Service-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist | Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, uitgeschakeld | 2.4.0 |
| Externe toegang autoriseren | CMA_0024 - Externe toegang autoriseren | Handmatig, uitgeschakeld | 1.1.0 |
| Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Informatiestroom beheren | CMA_0079 - Informatiestroom beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Training voor documentmobiliteit | CMA_0191 - Training voor documentmobiliteit | Handmatig, uitgeschakeld | 1.1.0 |
| Richtlijnen voor externe toegang document | CMA_0196 - Richtlijnen voor externe toegang document | Handmatig, uitgeschakeld | 1.1.0 |
| Mechanismen voor stroombeheer van versleutelde informatie gebruiken | CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers | Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers | Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
| Configuratiestandaarden voor firewall en router instellen | CMA_0272 - Configuratiestandaarden voor firewall en router instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Netwerksegmentatie instellen voor kaarthoudergegevensomgeving | CMA_0273 - Netwerksegmentatie instellen voor de gegevensomgeving van de kaarthouder | Handmatig, uitgeschakeld | 1.1.0 |
| Functie-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 5.0.0 |
| Functie-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Netwerkapparaten identificeren en verifiëren | CMA_0296 - Netwerkapparaten identificeren en verifiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Downstreaminformatie-uitwisselingen identificeren en beheren | CMA_0298 : downstreaminformatieuitwisseling identificeren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Besturingselementen implementeren om alternatieve werksites te beveiligen | CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Systeemgrensbescherming implementeren | CMA_0328 - Systeemgrensbescherming implementeren | Handmatig, uitgeschakeld | 1.1.0 |
| Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.1.0 |
| Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Gebruikers op de hoogte stellen van systeemaanmelding of -toegang | CMA_0382 - Gebruikers op de hoogte stellen van systeemaanmelding of -toegang | Handmatig, uitgeschakeld | 1.1.0 |
| Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld | Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Privacytraining bieden | CMA_0415 - Privacytraining bieden | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld | Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, uitgeschakeld | 3.0.1 |
Het verplaatsen van gegevens beperken tot geautoriseerde gebruikers
Id: SOC 2 Type 2 CC6.7 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| App Service-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 4.0.0 |
| App Service-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Werkstations configureren om te controleren op digitale certificaten | CMA_0073 - Werkstations configureren om te controleren op digitale certificaten | Handmatig, uitgeschakeld | 1.1.0 |
| Informatiestroom beheren | CMA_0079 - Informatiestroom beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisten voor mobiele apparaten definiëren | CMA_0122 - Vereisten voor mobiele apparaten definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Een mechanisme voor het opschonen van media gebruiken | CMA_0208 - Een mechanisme voor media-opschoning gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| Mechanismen voor stroombeheer van versleutelde informatie gebruiken | CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken | Handmatig, uitgeschakeld | 1.1.0 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers | Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers | Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
| Configuratiestandaarden voor firewall en router instellen | CMA_0272 - Configuratiestandaarden voor firewall en router instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Netwerksegmentatie instellen voor kaarthoudergegevensomgeving | CMA_0273 - Netwerksegmentatie instellen voor de gegevensomgeving van de kaarthouder | Handmatig, uitgeschakeld | 1.1.0 |
| Functie-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 5.0.0 |
| Functie-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Downstreaminformatie-uitwisselingen identificeren en beheren | CMA_0298 : downstreaminformatieuitwisseling identificeren en beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.1.0 |
| Het vervoer van assets beheren | CMA_0370 - Het vervoer van assets beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld | Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Gegevens tijdens overdracht beveiligen met versleuteling | CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Wachtwoorden beveiligen met versleuteling | CMA_0408 - Wachtwoorden beveiligen met versleuteling | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld | Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, uitgeschakeld | 3.0.1 |
Voorkomen of detecteren tegen niet-geautoriseerde of schadelijke software
Id: SOC 2 Type 2 CC6.8 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Afgeschaft]: Voor functie-apps moet 'Clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam, omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten. | Controle, uitgeschakeld | 3.1.0 afgeschaft |
| App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-apps moeten externe foutopsporing hebben uitgeschakeld | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps | CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| App Service-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| Controleer virtuele machines die niet gebruikmaken van beheerde schijven | Dit beleid controleert virtuele machines die niet gebruikmaken van beheerde schijven | controleren | 1.0.0 |
| De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | De invoegtoepassing voor beheerbeleid van Azure Kubernetes (AKS) voorziet in uitbreiding van Gatekeeper v3, een webhook voor de toegangscontroller voor Open Policy Agent (OPA) waarmee afdwinging en beveiliging op schaal en via gecentraliseerde, consistente manier worden toegepast op uw clusters. | Controle, uitgeschakeld | 1.0.2 |
| Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB | Handmatig, uitgeschakeld | 1.1.0 |
| Functie-apps moeten externe foutopsporing uitschakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Voor functie-apps mag CORS niet zijn geconfigureerd om elke resource toegang te geven tot uw apps | Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Functie-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 10.2.0 |
| Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | Voorkomen dat podcontainers de hostproces-id-naamruimte en host-IPC-naamruimte delen in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.2 en CIS 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.0 |
| Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.0 |
| Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 10.2.0 |
| Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.0 |
| Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.0 |
| Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.1.0 |
| Kubernetes-cluster mag geen bevoegde containers toestaan | Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 10.1.0 |
| Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | Schakel het automatisch koppelen van API-referenties uit om te voorkomen dat een mogelijk gemanipuleerde Pod-resource API-opdrachten uitvoert met Kubernetes-clusters. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.1.0 |
| Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | Beperk CAP_SYS_ADMIN Linux-mogelijkheden om de kwetsbaarheid voor aanvallen van uw containers te verminderen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.0 |
| Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | Maak geen gebruik van de standaard naamruimte in Kubernetes-clusters om te beveiligen tegen onbevoegde toegang voor ConfigMap-, Pod-, Secret-, Service- en ServiceAccount-resourcetypen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 1.5.0 |
| Gateways beheren | CMA_0363 - Gateways beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Alleen goedgekeurde VM-extensies mogen worden geïnstalleerd | Dit beleid is van toepassing op extensies van virtuele machines die niet zijn goedgekeurd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Rapport malwaredetecties wekelijks bekijken | CMA_0475 - Rapport malwaredetecties wekelijks bekijken | Handmatig, uitgeschakeld | 1.1.0 |
| De status van bedreigingsbeveiliging wekelijks bekijken | CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Opslagaccounts moeten toegang uit vertrouwde Microsoft-services toestaan | Sommige Microsoft-services die communiceren met opslagaccounts, werken vanuit netwerken waaraan geen toegang kan worden verleend via netwerkregels. Om dit type service goed te laten werken, moet u de set vertrouwde Microsoft-services toestaan om de netwerkregels over te slaan. Deze services gebruiken vervolgens sterke verificatie om toegang te krijgen tot het opslagaccount. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Antivirusdefinities bijwerken | CMA_0517 - Antivirusdefinities bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
| Integriteit van software, firmware en informatie controleren | CMA_0542 - Integriteit van software, firmware en informatie controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Diagnostische gegevens van het systeem weergeven en configureren | CMA_0544 - Diagnostische gegevens van het systeem weergeven en configureren | Handmatig, uitgeschakeld | 1.1.0 |
| De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Systeembewerkingen
Detectie en bewaking van nieuwe beveiligingsproblemen
Id: SOC 2 Type 2 CC7.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Acties configureren voor niet-compatibele apparaten | CMA_0062 - Acties configureren voor niet-compatibele apparaten | Handmatig, uitgeschakeld | 1.1.0 |
| Basislijnconfiguraties ontwikkelen en onderhouden | CMA_0153 : basislijnconfiguraties ontwikkelen en onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
| Detectie van netwerkapparaten inschakelen | CMA_0220 - Detectie van netwerkapparaten inschakelen | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsconfiguratie-instellingen afdwingen | CMA_0249 - Beveiligingsconfiguratie-instellingen afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Een configuratiebeheerbord instellen | CMA_0254 - Een configuratiebeheerbord instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Een configuratiebeheerplan instellen en documenteer | CMA_0264 - Een configuratiebeheerplan maken en documenteer | Handmatig, uitgeschakeld | 1.1.0 |
| Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren | CMA_0311 - Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsscans uitvoeren | CMA_0393 - Beveiligingsscans uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Fouten in het informatiesysteem oplossen | CMA_0427 - Fouten in het informatiesysteem herstellen | Handmatig, uitgeschakeld | 1.1.0 |
| Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie | Handmatig, uitgeschakeld | 1.1.0 |
| Integriteit van software, firmware en informatie controleren | CMA_0542 - Integriteit van software, firmware en informatie controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Diagnostische gegevens van het systeem weergeven en configureren | CMA_0544 - Diagnostische gegevens van het systeem weergeven en configureren | Handmatig, uitgeschakeld | 1.1.0 |
| Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance | Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers | Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Systeemonderdelen controleren op afwijkend gedrag
Id: SOC 2 Type 2 CC7.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 4.0.1-preview |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen | Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingen | Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingen | Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd | CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd | Handmatig, uitgeschakeld | 1.1.0 |
| Controleverwerkingsactiviteiten beheren en bewaken | CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken | Handmatig, uitgeschakeld | 1.1.0 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Storage (klassiek) moet zijn ingeschakeld | Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
| Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 1.1.1 |
Detectie van beveiligingsincidenten
Id: SOC 2 Type 2 CC7.3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Beleid en procedures voor incidentrespons controleren en bijwerken | CMA_C1352 - Beleid en procedures voor het reageren op incidenten controleren en bijwerken | Handmatig, uitgeschakeld | 1.1.0 |
Reactie op beveiligingsincidenten
Id: SOC 2 Type 2 CC7.4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Informatiebeveiligingsevenementen evalueren | CMA_0013 - Gegevensbeveiligingsgebeurtenissen evalueren | Handmatig, uitgeschakeld | 1.1.0 |
| Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen | CMA_0086 - Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen | Handmatig, uitgeschakeld | 1.1.0 |
| Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsbeveiliging ontwikkelen | CMA_0161 - Beveiligingsmaatregelen ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Netwerkbeveiliging inschakelen | CMA_0238 - Netwerkbeveiliging inschakelen | Handmatig, uitgeschakeld | 1.1.0 |
| Verontreinigde informatie uitroeien | CMA_0253 - Verontreinigde informatie uitroeien | Handmatig, uitgeschakeld | 1.1.0 |
| Acties uitvoeren als reactie op overloop van gegevens | CMA_0281 - Acties uitvoeren als reactie op gegevenslekken | Handmatig, uitgeschakeld | 1.1.0 |
| Klassen incidenten en acties identificeren die zijn uitgevoerd | CMA_C1365 - Klassen incidenten en acties identificeren die zijn uitgevoerd | Handmatig, uitgeschakeld | 1.1.0 |
| Incidentafhandeling implementeren | CMA_0318 - Incidentafhandeling implementeren | Handmatig, uitgeschakeld | 1.1.0 |
| Dynamische herconfiguratie van door de klant geïmplementeerde resources opnemen | CMA_C1364 - Dynamische herconfiguratie van door de klant geïmplementeerde resources opnemen | Handmatig, uitgeschakeld | 1.1.0 |
| Plan voor reactie op incidenten onderhouden | CMA_0352 - Plan voor reactie op incidenten onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
| Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
| Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Beperkte gebruikers weergeven en onderzoeken | CMA_0545 - Beperkte gebruikers weergeven en onderzoeken | Handmatig, uitgeschakeld | 1.1.0 |
Herstel van geïdentificeerde beveiligingsincidenten
Id: SOC 2 Type 2 CC7.5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Informatiebeveiligingsevenementen evalueren | CMA_0013 - Gegevensbeveiligingsgebeurtenissen evalueren | Handmatig, uitgeschakeld | 1.1.0 |
| Incidentresponstests uitvoeren | CMA_0060 : het testen van incidentreacties uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen | CMA_0086 - Plan voor onvoorziene onvoorziene activiteiten coördineren met gerelateerde plannen | Handmatig, uitgeschakeld | 1.1.0 |
| Coördineren met externe organisaties om het perspectief van meerdere organisaties te bereiken | CMA_C1368 - Coördineren met externe organisaties om het perspectief van meerdere organisaties te bereiken | Handmatig, uitgeschakeld | 1.1.0 |
| Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsbeveiliging ontwikkelen | CMA_0161 - Beveiligingsmaatregelen ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Netwerkbeveiliging inschakelen | CMA_0238 - Netwerkbeveiliging inschakelen | Handmatig, uitgeschakeld | 1.1.0 |
| Verontreinigde informatie uitroeien | CMA_0253 - Verontreinigde informatie uitroeien | Handmatig, uitgeschakeld | 1.1.0 |
| Een informatiebeveiligingsprogramma opzetten | CMA_0263 - Een informatiebeveiligingsprogramma instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Acties uitvoeren als reactie op overloop van gegevens | CMA_0281 - Acties uitvoeren als reactie op gegevenslekken | Handmatig, uitgeschakeld | 1.1.0 |
| Incidentafhandeling implementeren | CMA_0318 - Incidentafhandeling implementeren | Handmatig, uitgeschakeld | 1.1.0 |
| Plan voor reactie op incidenten onderhouden | CMA_0352 - Plan voor reactie op incidenten onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
| Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Een trendanalyse uitvoeren op bedreigingen | CMA_0389 - Een trendanalyse uitvoeren op bedreigingen | Handmatig, uitgeschakeld | 1.1.0 |
| Simulatieaanvallen uitvoeren | CMA_0486 - Simulatieaanvallen uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Beperkte gebruikers weergeven en onderzoeken | CMA_0545 - Beperkte gebruikers weergeven en onderzoeken | Handmatig, uitgeschakeld | 1.1.0 |
Wijzigingsbeheer
Wijzigingen in infrastructuur, gegevens en software
Id: SOC 2 Type 2 CC8.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Afgeschaft]: Voor functie-apps moet 'Clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam, omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten. | Controle, uitgeschakeld | 3.1.0 afgeschaft |
| App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-apps moeten externe foutopsporing hebben uitgeschakeld | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps | CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| App Service-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| Controleer virtuele machines die niet gebruikmaken van beheerde schijven | Dit beleid controleert virtuele machines die niet gebruikmaken van beheerde schijven | controleren | 1.0.0 |
| De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | De invoegtoepassing voor beheerbeleid van Azure Kubernetes (AKS) voorziet in uitbreiding van Gatekeeper v3, een webhook voor de toegangscontroller voor Open Policy Agent (OPA) waarmee afdwinging en beveiliging op schaal en via gecentraliseerde, consistente manier worden toegepast op uw clusters. | Controle, uitgeschakeld | 1.0.2 |
| Een beveiligingsimpactanalyse uitvoeren | CMA_0057 - Een beveiligingsimpactanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Acties configureren voor niet-compatibele apparaten | CMA_0062 - Acties configureren voor niet-compatibele apparaten | Handmatig, uitgeschakeld | 1.1.0 |
| Een standaard voor beveiligingsbeheer ontwikkelen en onderhouden | CMA_0152 - Een standaard voor beveiligingsbeheer ontwikkelen en onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
| Basislijnconfiguraties ontwikkelen en onderhouden | CMA_0153 : basislijnconfiguraties ontwikkelen en onderhouden | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsconfiguratie-instellingen afdwingen | CMA_0249 - Beveiligingsconfiguratie-instellingen afdwingen | Handmatig, uitgeschakeld | 1.1.0 |
| Een configuratiebeheerbord instellen | CMA_0254 - Een configuratiebeheerbord instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Een strategie voor risicobeheer vaststellen | CMA_0258 - Een strategie voor risicobeheer instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Een configuratiebeheerplan instellen en documenteer | CMA_0264 - Een configuratiebeheerplan maken en documenteer | Handmatig, uitgeschakeld | 1.1.0 |
| Processen voor het instellen en wijzigen van documenten | CMA_0265 - Processen voor het instellen en wijzigen van documenten | Handmatig, uitgeschakeld | 1.1.0 |
| Configuratiebeheervereisten instellen voor ontwikkelaars | CMA_0270 : configuratiebeheervereisten voor ontwikkelaars instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Functie-apps moeten externe foutopsporing uitschakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Voor functie-apps mag CORS niet zijn geconfigureerd om elke resource toegang te geven tot uw apps | Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Functie-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren | CMA_0311 - Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren | Handmatig, uitgeschakeld | 1.1.0 |
| Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 10.2.0 |
| Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | Voorkomen dat podcontainers de hostproces-id-naamruimte en host-IPC-naamruimte delen in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.2 en CIS 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.0 |
| Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.0 |
| Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 10.2.0 |
| Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.0 |
| Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.0 |
| Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.1.0 |
| Kubernetes-cluster mag geen bevoegde containers toestaan | Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 10.1.0 |
| Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | Schakel het automatisch koppelen van API-referenties uit om te voorkomen dat een mogelijk gemanipuleerde Pod-resource API-opdrachten uitvoert met Kubernetes-clusters. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.1.0 |
| Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | Beperk CAP_SYS_ADMIN Linux-mogelijkheden om de kwetsbaarheid voor aanvallen van uw containers te verminderen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.0 |
| Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | Maak geen gebruik van de standaard naamruimte in Kubernetes-clusters om te beveiligen tegen onbevoegde toegang voor ConfigMap-, Pod-, Secret-, Service- en ServiceAccount-resourcetypen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 1.5.0 |
| Alleen goedgekeurde VM-extensies mogen worden geïnstalleerd | Dit beleid is van toepassing op extensies van virtuele machines die niet zijn goedgekeurd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Een privacyimpactbeoordeling uitvoeren | CMA_0387 - Een privacyimpactbeoordeling uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Een risicoanalyse uitvoeren | CMA_0388 - Een risicoanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Controle uitvoeren voor configuratiewijzigingsbeheer | CMA_0390 - Controle uitvoeren voor configuratiewijzigingsbeheer | Handmatig, uitgeschakeld | 1.1.0 |
| Opslagaccounts moeten toegang uit vertrouwde Microsoft-services toestaan | Sommige Microsoft-services die communiceren met opslagaccounts, werken vanuit netwerken waaraan geen toegang kan worden verleend via netwerkregels. Om dit type service goed te laten werken, moet u de set vertrouwde Microsoft-services toestaan om de netwerkregels over te slaan. Deze services gebruiken vervolgens sterke verificatie om toegang te krijgen tot het opslagaccount. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Risicobeperking
Risicobeperkingsactiviteiten
Id: SOC 2 Type 2 CC9.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Vereisten voor gegevensbeveiliging bepalen | CMA_C1750 - Bepaal de behoeften voor gegevensbeveiliging | Handmatig, uitgeschakeld | 1.1.0 |
| Een strategie voor risicobeheer vaststellen | CMA_0258 - Een strategie voor risicobeheer instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Een risicoanalyse uitvoeren | CMA_0388 - Een risicoanalyse uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Risicobeheer van leveranciers en zakenpartners
Id: SOC 2 Type 2 CC9.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Risico's beoordelen in relaties van derden | CMA_0014 - Risico's beoordelen in relaties van derden | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisten definiëren voor het leveren van goederen en diensten | CMA_0126 - Vereisten voor het leveren van goederen en diensten definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| De taken van processors definiëren | CMA_0127 - De taken van processors definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Contractverplichtingen van leveranciers bepalen | CMA_0140 - Contractverplichtingen van leveranciers bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Acceptatiecriteria voor overnamecontract documenteren | CMA_0187 - Acceptatiecriteria voor documentaankoopcontract | Handmatig, uitgeschakeld | 1.1.0 |
| Documentbescherming van persoonsgegevens in overnamecontracten | CMA_0194 - Documentbescherming van persoonsgegevens in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documentbescherming van beveiligingsgegevens in overnamecontracten | CMA_0195 - Documentbescherming van beveiligingsgegevens in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documentvereisten voor het gebruik van gedeelde gegevens in contracten | CMA_0197 - Documentvereisten voor het gebruik van gedeelde gegevens in contracten | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisten voor beveiligingscontrole in overnamecontracten documenteer | CMA_0199 - Vereisten voor beveiligingscontrole vastleggen in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documentbeveiligingsdocumentatievereisten in overnamecontract | CMA_0200 - Documentbeveiligingsdocumentatievereisten in overnamecontract | Handmatig, uitgeschakeld | 1.1.0 |
| Functionele vereisten voor beveiliging documentleren in overnamecontracten | CMA_0201 - Functionele vereisten voor beveiliging document in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisten voor beveiligingssterkte documenteer in overnamecontracten | CMA_0203 - Vereisten voor beveiligingssterkte documenteer in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documenteer de informatiesysteemomgeving in overnamecontracten | CMA_0205 - Documenteer de informatiesysteemomgeving in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden | CMA_0207 - Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden | Handmatig, uitgeschakeld | 1.1.0 |
| Beleid opstellen voor toeleveringsketenrisicobeheer | CMA_0275 - Beleid voor toeleveringsketenrisicobeheer instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Beveiligingsvereisten voor personeel van derden vaststellen | CMA_C1529 - Beveiligingsvereisten voor personeel van derden vaststellen | Handmatig, uitgeschakeld | 1.1.0 |
| Naleving van externe providers bewaken | CMA_C1533 - Naleving van externe providers controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Openbaarmakingen van PII aan derden vastleggen | CMA_0422 - Openbaarmakingen van PII aan derden vastleggen | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisen dat externe providers voldoen aan beveiligingsbeleid en procedures voor personeel | CMA_C1530 - Vereisen dat externe providers voldoen aan het beveiligingsbeleid en de procedures voor personeelsbeveiliging | Handmatig, uitgeschakeld | 1.1.0 |
| Train personeel op piI delen en de gevolgen ervan | CMA_C1871 - Train staff on PII sharing and its impact | Handmatig, uitgeschakeld | 1.1.0 |
Aanvullende criteria voor privacy
Privacyverklaring
Id: SOC 2 Type 2 P1.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een privacybeleid documenteert en distribueert | CMA_0188 - Een privacybeleid documenteert en distribueert | Handmatig, uitgeschakeld | 1.1.0 |
| Controleren of informatie over het privacyprogramma openbaar beschikbaar is | CMA_C1867 - Zorg ervoor dat informatie over het privacyprogramma openbaar beschikbaar is | Handmatig, uitgeschakeld | 1.1.0 |
| Leveringsmethoden voor privacyverklaring implementeren | CMA_0324 - Leveringsmethoden voor privacyverklaring implementeren | Handmatig, uitgeschakeld | 1.1.0 |
| Privacyverklaring opgeven | CMA_0414 - Privacyverklaring opgeven | Handmatig, uitgeschakeld | 1.1.0 |
| Privacyverklaring verstrekken aan het publiek en aan personen | CMA_C1861 - Privacyverklaring verstrekken aan het publiek en aan personen | Handmatig, uitgeschakeld | 1.1.0 |
Privacytoestemming
Id: SOC 2 Type 2 P2.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Documenteer personeelsacceptatie van privacyvereisten | CMA_0193 - Documenteer personeelsacceptatie van privacyvereisten | Handmatig, uitgeschakeld | 1.1.0 |
| Leveringsmethoden voor privacyverklaring implementeren | CMA_0324 - Leveringsmethoden voor privacyverklaring implementeren | Handmatig, uitgeschakeld | 1.1.0 |
| Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt | CMA_0385 - Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt | Handmatig, uitgeschakeld | 1.1.0 |
| Privacyverklaring opgeven | CMA_0414 - Privacyverklaring opgeven | Handmatig, uitgeschakeld | 1.1.0 |
Consistente verzameling van persoonlijke gegevens
Id: SOC 2 Type 2 P3.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Juridische autoriteit bepalen voor het verzamelen van PII | CMA_C1800 - Juridische autoriteit bepalen om PII te verzamelen | Handmatig, uitgeschakeld | 1.1.0 |
| Documentproces om de integriteit van PII te waarborgen | CMA_C1827 - Documentproces om de integriteit van PII te waarborgen | Handmatig, uitgeschakeld | 1.1.0 |
| PII-bedrijven regelmatig evalueren en beoordelen | CMA_C1832 - PII-bedrijven regelmatig evalueren en beoordelen | Handmatig, uitgeschakeld | 1.1.0 |
| Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt | CMA_0385 - Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt | Handmatig, uitgeschakeld | 1.1.0 |
Expliciete toestemming voor persoonlijke gegevens
Id: SOC 2 Type 2 P3.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| PII rechtstreeks van de persoon verzamelen | CMA_C1822 - PiI rechtstreeks van de persoon verzamelen | Handmatig, uitgeschakeld | 1.1.0 |
| Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt | CMA_0385 - Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt | Handmatig, uitgeschakeld | 1.1.0 |
Gebruik van persoonlijke gegevens
Id: SOC 2 Type 2 P4.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Documenteer de rechtsgrondslag voor het verwerken van persoonlijke gegevens | CMA_0206 - Documenteer de rechtsgrondslag voor het verwerken van persoonlijke gegevens | Handmatig, uitgeschakeld | 1.1.0 |
| Leveringsmethoden voor privacyverklaring implementeren | CMA_0324 - Leveringsmethoden voor privacyverklaring implementeren | Handmatig, uitgeschakeld | 1.1.0 |
| Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt | CMA_0385 - Toestemming verkrijgen voordat persoonsgegevens worden verzameld of verwerkt | Handmatig, uitgeschakeld | 1.1.0 |
| Privacyverklaring opgeven | CMA_0414 - Privacyverklaring opgeven | Handmatig, uitgeschakeld | 1.1.0 |
| Communicatie beperken | CMA_0449 - Communicatie beperken | Handmatig, uitgeschakeld | 1.1.0 |
Retentie van persoonlijke gegevens
Id: SOC 2 Type 2 P4.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voldoen aan de retentieperioden die zijn gedefinieerd | CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden | Handmatig, uitgeschakeld | 1.1.0 |
| Documentproces om de integriteit van PII te waarborgen | CMA_C1827 - Documentproces om de integriteit van PII te waarborgen | Handmatig, uitgeschakeld | 1.1.0 |
Verwijdering van persoonlijke gegevens
Id: SOC 2 Type 2 P4.3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Verwijderingsbeoordeling uitvoeren | CMA_0391 - Verwijderingsbeoordeling uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Controleren of persoonsgegevens worden verwijderd aan het einde van de verwerking | CMA_0540 - Controleren of persoonsgegevens worden verwijderd aan het einde van de verwerking | Handmatig, uitgeschakeld | 1.1.0 |
Toegang tot persoonlijke gegevens
Id: SOC 2 Type 2 P5.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Methoden implementeren voor consumentenaanvragen | CMA_0319 - Methoden implementeren voor consumentenaanvragen | Handmatig, uitgeschakeld | 1.1.0 |
| Regels en regelgeving publiceren die toegang hebben tot privacywetrecords | CMA_C1847 - Regels en regelgeving publiceren die toegang hebben tot privacywetrecords | Handmatig, uitgeschakeld | 1.1.0 |
Correctie van persoonlijke gegevens
Id: SOC 2 Type 2 P5.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Reageren op aanvragen voor correctie | CMA_0442 - Reageren op verzoeken van betrokkenen | Handmatig, uitgeschakeld | 1.1.0 |
Openbaarmaking van persoonlijke gegevens van derden
Id: SOC 2 Type 2 P6.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| De taken van processors definiëren | CMA_0127 - De taken van processors definiëren | Handmatig, uitgeschakeld | 1.1.0 |
| Contractverplichtingen van leveranciers bepalen | CMA_0140 - Contractverplichtingen van leveranciers bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Acceptatiecriteria voor overnamecontract documenteren | CMA_0187 - Acceptatiecriteria voor documentaankoopcontract | Handmatig, uitgeschakeld | 1.1.0 |
| Documentbescherming van persoonsgegevens in overnamecontracten | CMA_0194 - Documentbescherming van persoonsgegevens in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documentbescherming van beveiligingsgegevens in overnamecontracten | CMA_0195 - Documentbescherming van beveiligingsgegevens in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documentvereisten voor het gebruik van gedeelde gegevens in contracten | CMA_0197 - Documentvereisten voor het gebruik van gedeelde gegevens in contracten | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisten voor beveiligingscontrole in overnamecontracten documenteer | CMA_0199 - Vereisten voor beveiligingscontrole vastleggen in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documentbeveiligingsdocumentatievereisten in overnamecontract | CMA_0200 - Documentbeveiligingsdocumentatievereisten in overnamecontract | Handmatig, uitgeschakeld | 1.1.0 |
| Functionele vereisten voor beveiliging documentleren in overnamecontracten | CMA_0201 - Functionele vereisten voor beveiliging document in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisten voor beveiligingssterkte documenteer in overnamecontracten | CMA_0203 - Vereisten voor beveiligingssterkte documenteer in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documenteer de informatiesysteemomgeving in overnamecontracten | CMA_0205 - Documenteer de informatiesysteemomgeving in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden | CMA_0207 - Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden | Handmatig, uitgeschakeld | 1.1.0 |
| Privacyvereisten instellen voor aannemers en serviceproviders | CMA_C1810 - Privacyvereisten voor aannemers en serviceproviders vaststellen | Handmatig, uitgeschakeld | 1.1.0 |
| Openbaarmakingen van PII aan derden vastleggen | CMA_0422 - Openbaarmakingen van PII aan derden vastleggen | Handmatig, uitgeschakeld | 1.1.0 |
| Train personeel op piI delen en de gevolgen ervan | CMA_C1871 - Train staff on PII sharing and its impact | Handmatig, uitgeschakeld | 1.1.0 |
Geautoriseerde openbaarmaking van persoonlijke gegevensrecord
Id: SOC 2 Type 2 P6.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Houd nauwkeurige boekhouding van openbaarmakingen van informatie | CMA_C1818 - Houd nauwkeurige boekhouding van openbaarmakingen van informatie | Handmatig, uitgeschakeld | 1.1.0 |
Onbevoegde openbaarmaking van persoonlijke gegevensrecord
Id: SOC 2 Type 2 P6.3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Houd nauwkeurige boekhouding van openbaarmakingen van informatie | CMA_C1818 - Houd nauwkeurige boekhouding van openbaarmakingen van informatie | Handmatig, uitgeschakeld | 1.1.0 |
Overeenkomsten van derden
Id: SOC 2 Type 2 P6.4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| De taken van processors definiëren | CMA_0127 - De taken van processors definiëren | Handmatig, uitgeschakeld | 1.1.0 |
Melding van onbevoegde openbaarmaking van derden
Id: SOC 2 Type 2 P6.5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Contractverplichtingen van leveranciers bepalen | CMA_0140 - Contractverplichtingen van leveranciers bepalen | Handmatig, uitgeschakeld | 1.1.0 |
| Acceptatiecriteria voor overnamecontract documenteren | CMA_0187 - Acceptatiecriteria voor documentaankoopcontract | Handmatig, uitgeschakeld | 1.1.0 |
| Documentbescherming van persoonsgegevens in overnamecontracten | CMA_0194 - Documentbescherming van persoonsgegevens in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documentbescherming van beveiligingsgegevens in overnamecontracten | CMA_0195 - Documentbescherming van beveiligingsgegevens in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documentvereisten voor het gebruik van gedeelde gegevens in contracten | CMA_0197 - Documentvereisten voor het gebruik van gedeelde gegevens in contracten | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisten voor beveiligingscontrole in overnamecontracten documenteer | CMA_0199 - Vereisten voor beveiligingscontrole vastleggen in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documentbeveiligingsdocumentatievereisten in overnamecontract | CMA_0200 - Documentbeveiligingsdocumentatievereisten in overnamecontract | Handmatig, uitgeschakeld | 1.1.0 |
| Functionele vereisten voor beveiliging documentleren in overnamecontracten | CMA_0201 - Functionele vereisten voor beveiliging document in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Vereisten voor beveiligingssterkte documenteer in overnamecontracten | CMA_0203 - Vereisten voor beveiligingssterkte documenteer in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documenteer de informatiesysteemomgeving in overnamecontracten | CMA_0205 - Documenteer de informatiesysteemomgeving in overnamecontracten | Handmatig, uitgeschakeld | 1.1.0 |
| Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden | CMA_0207 - Documenteer de bescherming van gegevens van de kaarthouder in contracten van derden | Handmatig, uitgeschakeld | 1.1.0 |
| Informatiebeveiliging en persoonlijke gegevensbescherming | CMA_0332 - Gegevensbeveiliging en persoonlijke gegevensbescherming | Handmatig, uitgeschakeld | 1.1.0 |
Melding van privacyincident
Id: SOC 2 Type 2 P6.6 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een plan voor het reageren op incidenten ontwikkelen | CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen | Handmatig, uitgeschakeld | 1.1.0 |
| Informatiebeveiliging en persoonlijke gegevensbescherming | CMA_0332 - Gegevensbeveiliging en persoonlijke gegevensbescherming | Handmatig, uitgeschakeld | 1.1.0 |
Boekhouding van openbaarmaking van persoonlijke gegevens
Id: SOC 2 Type 2 P6.7 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Leveringsmethoden voor privacyverklaring implementeren | CMA_0324 - Leveringsmethoden voor privacyverklaring implementeren | Handmatig, uitgeschakeld | 1.1.0 |
| Houd nauwkeurige boekhouding van openbaarmakingen van informatie | CMA_C1818 - Houd nauwkeurige boekhouding van openbaarmakingen van informatie | Handmatig, uitgeschakeld | 1.1.0 |
| Boekhouding van openbaarmakingen beschikbaar maken op verzoek | CMA_C1820 - Boekhouding van openbaarmakingen beschikbaar maken op verzoek | Handmatig, uitgeschakeld | 1.1.0 |
| Privacyverklaring opgeven | CMA_0414 - Privacyverklaring opgeven | Handmatig, uitgeschakeld | 1.1.0 |
| Communicatie beperken | CMA_0449 - Communicatie beperken | Handmatig, uitgeschakeld | 1.1.0 |
Kwaliteit van persoonlijke gegevens
Id: SOC 2 Type 2 P7.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Kwaliteit en integriteit van PII bevestigen | CMA_C1821 - Kwaliteit en integriteit van PII bevestigen | Handmatig, uitgeschakeld | 1.1.0 |
| Richtlijnen voor problemen met het waarborgen van de kwaliteit en integriteit van gegevens | CMA_C1824 - Richtlijnen voor het garanderen van gegevenskwaliteit en integriteit | Handmatig, uitgeschakeld | 1.1.0 |
| Onnauwkeurige of verouderde PII controleren | CMA_C1823 - Onnauwkeurige of verouderde PII controleren | Handmatig, uitgeschakeld | 1.1.0 |
Privacyklachtbeheer en compliancebeheer
Id: SOC 2 Type 2 P8.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Klachtenprocedures voor privacy documenteer en implementeer | CMA_0189 - Klachtprocedures voor privacy documenteer en implementeer | Handmatig, uitgeschakeld | 1.1.0 |
| PII-bedrijven regelmatig evalueren en beoordelen | CMA_C1832 - PII-bedrijven regelmatig evalueren en beoordelen | Handmatig, uitgeschakeld | 1.1.0 |
| Informatiebeveiliging en persoonlijke gegevensbescherming | CMA_0332 - Gegevensbeveiliging en persoonlijke gegevensbescherming | Handmatig, uitgeschakeld | 1.1.0 |
| Reageren op klachten, problemen of vragen tijdig | CMA_C1853 - Tijdig reageren op klachten, problemen of vragen | Handmatig, uitgeschakeld | 1.1.0 |
| Train personeel op piI delen en de gevolgen ervan | CMA_C1871 - Train staff on PII sharing and its impact | Handmatig, uitgeschakeld | 1.1.0 |
Aanvullende criteria voor de verwerking van integriteit
Definities van gegevensverwerking
Id: SOC 2 Type 2 PI1.1 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Leveringsmethoden voor privacyverklaring implementeren | CMA_0324 - Leveringsmethoden voor privacyverklaring implementeren | Handmatig, uitgeschakeld | 1.1.0 |
| Privacyverklaring opgeven | CMA_0414 - Privacyverklaring opgeven | Handmatig, uitgeschakeld | 1.1.0 |
| Communicatie beperken | CMA_0449 - Communicatie beperken | Handmatig, uitgeschakeld | 1.1.0 |
Systeeminvoer over volledigheid en nauwkeurigheid
Id: SOC 2 Type 2 PI1.2 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Gegevensinvoervalidatie uitvoeren | CMA_C1723 - Gegevensinvoervalidatie uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
Systeemverwerking
Id: SOC 2 Type 2 PI1.3 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Fysieke toegang beheren | CMA_0081 - Fysieke toegang beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Foutberichten genereren | CMA_C1724 - Foutberichten genereren | Handmatig, uitgeschakeld | 1.1.0 |
| De invoer, uitvoer, verwerking en opslag van gegevens beheren | CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Gegevensinvoervalidatie uitvoeren | CMA_C1723 - Gegevensinvoervalidatie uitvoeren | Handmatig, uitgeschakeld | 1.1.0 |
| Labelactiviteit en -analyse controleren | CMA_0474 - Labelactiviteit en -analyse controleren | Handmatig, uitgeschakeld | 1.1.0 |
Systeemuitvoer is voltooid, nauwkeurig en tijdig
Id: SOC 2 Type 2 PI1.4 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Fysieke toegang beheren | CMA_0081 - Fysieke toegang beheren | Handmatig, uitgeschakeld | 1.1.0 |
| De invoer, uitvoer, verwerking en opslag van gegevens beheren | CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Labelactiviteit en -analyse controleren | CMA_0474 - Labelactiviteit en -analyse controleren | Handmatig, uitgeschakeld | 1.1.0 |
Invoer en uitvoer volledig, nauwkeurig en tijdig opslaan
Id: SOC 2 Type 2 PI1.5 Eigendom: Gedeeld
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Backup moet zijn ingeschakeld voor virtuele machines | Zorg ervoor dat uw virtuele Azure-machines worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Fysieke toegang beheren | CMA_0081 - Fysieke toegang beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Back-upbeleid en -procedures instellen | CMA_0268 - Back-upbeleid en -procedures instellen | Handmatig, uitgeschakeld | 1.1.0 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB | Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL | Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL | Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Besturingselementen implementeren om alle media te beveiligen | CMA_0314 - Besturingselementen implementeren om alle media te beveiligen | Handmatig, uitgeschakeld | 1.1.0 |
| De invoer, uitvoer, verwerking en opslag van gegevens beheren | CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren | Handmatig, uitgeschakeld | 1.1.0 |
| Labelactiviteit en -analyse controleren | CMA_0474 - Labelactiviteit en -analyse controleren | Handmatig, uitgeschakeld | 1.1.0 |
| Back-upgegevens afzonderlijk opslaan | CMA_C1293 - Back-upgegevens afzonderlijk opslaan | Handmatig, uitgeschakeld | 1.1.0 |
Volgende stappen
Aanvullende artikelen over Azure Policy:
- Overzicht voor naleving van regelgeving.
- Bekijk de structuur van initiatiefdefinities.
- Bekijk andere voorbeelden op Voorbeelden van Azure Policy.
- Lees Informatie over de effecten van het beleid.
- Ontdek hoe u niet-compatibele resources kunt herstellen.