Udostępnij za pośrednictwem

Mapowanie kontroli przykładowej strategii ISM PROTECTED dla rządu australijskiego

  • Artykuł

Ważne

11 lipca 2026 r. usługa Blueprints (wersja zapoznawcza) zostanie wycofana. Przeprowadź migrację istniejących definicji strategii i przypisań do specyfikacji szablonu i stosów wdrażania. Artefakty strategii mają być konwertowane na szablony JSON usługi ARM lub pliki Bicep używane do definiowania stosów wdrażania. Aby dowiedzieć się, jak utworzyć artefakt jako zasób usługi ARM, zobacz:

Poniższy artykuł zawiera szczegółowe informacje na temat sposobu mapowania przykładu strategii azure Blueprints Australian Government ISM PROTECTED na kontrolki ISM PROTECTED. Aby uzyskać więcej informacji na temat kontrolek, zobacz ISM PROTECTED .

Następujące mapowania dotyczą kontrolek ISM PROTECTED . Użyj nawigacji po prawej stronie, aby przejść bezpośrednio do określonego mapowania kontrolek. Wiele mapowanych kontrolek jest implementowanych za pomocą inicjatywy usługi Azure Policy . Aby przejrzeć pełną inicjatywę, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz pozycję [Wersja zapoznawcza]: Przeprowadź inspekcję kontrolek ISM PROTECTED dla instytucji rządowych Australii i wdróż określone rozszerzenia maszyn wirtualnych, aby obsługiwać wbudowaną inicjatywę zasad inspekcji .

Ważne

Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między kontrolkami i definicjami usługi Azure Policy dla tego przykładu strategii zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.

Ograniczenia lokalizacji

Ta strategia pomaga ograniczyć lokalizację wdrożenia wszystkich zasobów i grup zasobów do "Australia Środkowa", "Australia Środkowa2", "Australia Wschodnia" i "Australia Południowo-Wschodnia", przypisując następujące definicje usługi Azure Policy:

  • Dozwolone lokalizacje (zostały zakodowane jako "Australia Środkowa", "Australia Środkowa2", "Australia Wschodnia" i "Australia Południowo-Wschodnia")
  • Dozwolone lokalizacje dla grup zasobów (zostały zakodowane w kodzie "Australia Środkowa", "Australia Środkowa2", "Australia Wschodnia" i "Australia Południowo-Wschodnia")

Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów

0414 Personel udzielił dostępu do systemu, a jego zasoby są jednoznacznie możliwe do zidentyfikowania

  • Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami właściciela subskrypcji
  • Uwierzytelnianie MFA powinno być włączone na kontach z uprawnieniami do zapisu w Twojej subskrypcji
  • Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do odczytu w ramach subskrypcji

1503 Standardowy dostęp do systemów, aplikacji i repozytoriów danych jest ograniczony do tego, co wymaga od personelu podjęcia swoich obowiązków

  • Dla Twojej subskrypcji powinno zostać wyznaczonych maksymalnie 3 właścicieli
  • Do Twojej subskrypcji powinien być przypisany więcej niż jeden właściciel
  • Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Windows, w których grupa Administratorzy zawiera dowolny z określonych członków
  • Wdrażanie wymagań wstępnych w celu inspekcji maszyn wirtualnych z systemem Windows, w których grupa Administratorzy zawiera dowolny z określonych członków

1507 Uprzywilejowany dostęp do systemów, aplikacji i repozytoriów danych jest weryfikowany po pierwszym żądaniu i ponownej weryfikacji co najmniej raz

  • Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Windows, w których grupa Administratorzy zawiera dowolny z określonych członków
  • Wdrażanie wymagań wstępnych w celu inspekcji maszyn wirtualnych z systemem Windows, w których grupa Administratorzy zawiera dowolny z określonych członków

1508 Uprzywilejowany dostęp do systemów, aplikacji i repozytoriów danych jest ograniczony do tego, co jest wymagane, aby personel podjął swoje obowiązki

  • Dla Twojej subskrypcji powinno zostać wyznaczonych maksymalnie 3 właścicieli
  • Do Twojej subskrypcji powinien być przypisany więcej niż jeden właściciel
  • Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Windows, w których grupa Administratorzy zawiera dowolny z określonych członków
  • Wdrażanie wymagań wstępnych w celu inspekcji maszyn wirtualnych z systemem Windows, w których grupa Administratorzy zawiera dowolny z określonych członków
  • Kontrola dostępu do sieci just-in-time powinna być stosowana na maszynach wirtualnych

0415 Korzystanie z udostępnionych kont użytkowników jest ściśle kontrolowane, a personel korzystający z takich kont jest jednoznacznie rozpoznawalny

  • Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Windows, w których grupa Administratorzy zawiera dowolny z określonych członków
  • Wdrażanie wymagań wstępnych w celu inspekcji maszyn wirtualnych z systemem Windows, w których grupa Administratorzy zawiera dowolny z określonych członków

0445 Uprzywilejowani użytkownicy mają przypisane dedykowane konto uprzywilejowane, które ma być używane wyłącznie w przypadku zadań wymagających uprzywilejowanego dostępu

  • Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Windows, w których grupa Administratorzy zawiera dowolny z określonych członków
  • Wdrażanie wymagań wstępnych w celu inspekcji maszyn wirtualnych z systemem Windows, w których grupa Administratorzy zawiera dowolny z określonych członków

0430 Dostęp do systemów, aplikacji i repozytoriów danych jest usuwany lub zawieszony w tym samym dniu personel nie ma już uzasadnionego wymogu dostępu

  • Przestarzałe konta powinny zostać usunięte z subskrypcji
  • Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji

0441 W przypadku udzielenia pracownikom tymczasowego dostępu do systemu obowiązują skuteczne mechanizmy kontroli zabezpieczeń, aby ograniczyć dostęp tylko do informacji wymaganych przez nich do podjęcia swoich obowiązków

  • Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji
  • Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji
  • Przestarzałe konta powinny zostać usunięte z subskrypcji
  • Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji

Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń systemu operacyjnego

1407 Najnowsza wersja (N) lub N-1 systemu operacyjnego jest używana dla standardowych środowisk operacyjnych (SOE)

  • Należy zainstalować aktualizacje systemu na maszynach
  • Należy zainstalować aktualizacje systemu w zestawach skalowania maszyn wirtualnych

0380 Nienadane konta systemu operacyjnego, oprogramowanie, składniki, usługi i funkcje są usuwane lub wyłączone

  • Przestarzałe konta powinny zostać usunięte z subskrypcji
  • Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji

1490 Aplikacja zezwala na wyświetlanie listy rozwiązań jest implementowana na wszystkich serwerach, aby ograniczyć wykonywanie plików wykonywalnych, bibliotek oprogramowania, skryptów i instalatorów do zatwierdzonego zestawu

  • Funkcje adaptacyjnego sterowania aplikacjami powinny być włączone na maszynach wirtualnych

Oprogramowanie antywirusowe 1417 jest implementowane na stacjach roboczych i serwerach oraz konfigurowane za pomocą: włączone wykrywanie oparte na podpisach i ustawione na wysoki poziom, włączone wykrywanie heurystyczne i ustawione na wysoki poziom, sygnatury wykrywania sprawdzane pod kątem waluty i aktualizowane co najmniej codziennie, automatyczne i regularne skanowanie skonfigurowane dla wszystkich dysków stałych i nośnika wymiennego

  • Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows
  • Rozwiązanie Endpoint Protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych
  • Monitoruj brakujący program Endpoint Protection w usłudze Azure Security Center

Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń uwierzytelniania

1546 Użytkownicy są uwierzytelniani przed udzieleniem im dostępu do systemu i jego zasobów

  • Inspekcja nieograniczonego dostępu sieciowego do kont magazynu
  • Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta
  • Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł
  • Wdrażanie wymagań wstępnych w celu inspekcji maszyn wirtualnych z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł
  • Pokaż wyniki inspekcji z maszyn wirtualnych z systemem Linux, które mają konta bez haseł
  • Wdrażanie wymagań wstępnych w celu inspekcji maszyn wirtualnych z systemem Linux, które mają konta bez haseł

0974 Uwierzytelnianie wieloskładnikowe służy do uwierzytelniania użytkowników standardowych

  • Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do odczytu w ramach subskrypcji

1173 Uwierzytelnianie wieloskładnikowe służy do uwierzytelniania wszystkich uprzywilejowanych użytkowników i innych stanowisk zaufania

  • Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami właściciela subskrypcji
  • Uwierzytelnianie MFA powinno być włączone na kontach z uprawnieniami do zapisu w Twojej subskrypcji

0421 Hasła używane do uwierzytelniania jednoskładnikowego to co najmniej 14 znaków ze złożonością, najlepiej jak 4 losowe słowa

  • Pokaż wyniki inspekcji z konfiguracji maszyn wirtualnych z systemem Windows w obszarze "Ustawienia zabezpieczeń — zasady konta"
  • Wdrażanie wymagań wstępnych w celu inspekcji konfiguracji maszyn wirtualnych z systemem Windows w obszarze "Ustawienia zabezpieczeń — zasady konta"

Wytyczne dotyczące zarządzania systemami — administracja systemem

1384 Uwierzytelnianie wieloskładnikowe służy do uwierzytelniania użytkowników za każdym razem, gdy wykonują uprzywilejowane akcje

  • Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami właściciela subskrypcji
  • Uwierzytelnianie MFA powinno być włączone na kontach z uprawnieniami do zapisu w Twojej subskrypcji
  • Uwierzytelnianie wieloskładnikowe powinno być włączone na kontach z uprawnieniami do odczytu w ramach subskrypcji

1386 Ruch zarządzania może pochodzić tylko ze stref sieciowych używanych do administrowania systemami i aplikacjami

  • Kontrola dostępu do sieci just-in-time powinna być stosowana na maszynach wirtualnych
  • Zdalne debugowanie powinno być wyłączone dla usługi API Apps
  • Debugowanie zdalne powinno być wyłączone dla aplikacji funkcji
  • Zdalne debugowanie powinno być wyłączone dla aplikacji internetowych

Wytyczne dotyczące zarządzania systemem — stosowanie poprawek systemu

1144 Luki w zabezpieczeniach w aplikacjach i sterownikach oceniane jako zagrożenia skrajne są poprawiane, aktualizowane lub ograniczane w ciągu 48 godzin od zidentyfikowania luk w zabezpieczeniach przez dostawców, niezależnych podmiotów trzecich, menedżerów systemu lub użytkowników

  • Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane
  • Ocena luk w zabezpieczeniach powinna być włączona na Twoich serwerach SQL
  • Ocena luk w zabezpieczeniach powinna być włączona w wystąpieniach zarządzanych SQL
  • Ocena luk w zabezpieczeniach powinna być włączona na maszynach
  • Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych
  • Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach
  • Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach
  • Luki w konfiguracjach zabezpieczeń kontenerów powinny zostać skorygowane
  • Ustawienia oceny luk w zabezpieczeniach dla programu SQL Server powinny zawierać adres e-mail do odbierania raportów skanowania

0940 Luki w zabezpieczeniach w aplikacjach i sterownikach oceniane jako luki w zabezpieczeniach o wysokim ryzyku są poprawiane, aktualizowane lub ograniczane w ciągu dwóch tygodni od zidentyfikowania przez dostawców, niezależnych firm, menedżerów systemu lub użytkowników

  • Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane
  • Ocena luk w zabezpieczeniach powinna być włączona na Twoich serwerach SQL
  • Ocena luk w zabezpieczeniach powinna być włączona w wystąpieniach zarządzanych SQL
  • Ocena luk w zabezpieczeniach powinna być włączona na maszynach wirtualnych
  • Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych
  • Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach
  • Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach
  • Luki w konfiguracjach zabezpieczeń kontenerów powinny zostać skorygowane
  • Ustawienia oceny luk w zabezpieczeniach dla programu SQL Server powinny zawierać adres e-mail do odbierania raportów skanowania

1472 Luki w zabezpieczeniach w aplikacjach i sterownikach oceniane jako umiarkowane lub niskie ryzyko są poprawiane, aktualizowane lub ograniczane w ciągu jednego miesiąca od zidentyfikowania luki w zabezpieczeniach przez dostawców, niezależnych podmiotów trzecich, menedżerów systemu lub użytkowników

  • Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane
  • Ocena luk w zabezpieczeniach powinna być włączona na Twoich serwerach SQL
  • Ocena luk w zabezpieczeniach powinna być włączona w wystąpieniach zarządzanych SQL
  • Ocena luk w zabezpieczeniach powinna być włączona na maszynach wirtualnych
  • Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych
  • Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach
  • Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach
  • Luki w konfiguracjach zabezpieczeń kontenerów powinny zostać skorygowane
  • Ustawienia oceny luk w zabezpieczeniach dla programu SQL Server powinny zawierać adres e-mail do odbierania raportów skanowania

1494 Luki w zabezpieczeniach w systemach operacyjnych i oprogramowaniu układowym oceniane jako zagrożenia skrajne są poprawiane, aktualizowane lub ograniczane w ciągu 48 godzin od zidentyfikowania luk w zabezpieczeniach przez dostawców, niezależnych podmiotów trzecich, menedżerów systemu lub użytkowników

  • Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane
  • Ocena luk w zabezpieczeniach powinna być włączona na Twoich serwerach SQL
  • Ocena luk w zabezpieczeniach powinna być włączona w wystąpieniach zarządzanych SQL
  • Ocena luk w zabezpieczeniach powinna być włączona na maszynach wirtualnych
  • Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych
  • Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach
  • Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach
  • Luki w konfiguracjach zabezpieczeń kontenerów powinny zostać skorygowane
  • Ustawienia oceny luk w zabezpieczeniach dla programu SQL Server powinny zawierać adres e-mail do odbierania raportów skanowania

1495 Luki w zabezpieczeniach w systemach operacyjnych i oprogramowaniu układowym oceniane jako luki w zabezpieczeniach o wysokim ryzyku są poprawiane, aktualizowane lub ograniczane w ciągu dwóch tygodni od zidentyfikowania przez dostawców, niezależnych podmiotów trzecich, menedżerów systemu lub użytkowników

  • Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane
  • Ocena luk w zabezpieczeniach powinna być włączona na Twoich serwerach SQL
  • Ocena luk w zabezpieczeniach powinna być włączona w wystąpieniach zarządzanych SQL
  • Ocena luk w zabezpieczeniach powinna być włączona na maszynach wirtualnych
  • Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych
  • Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach
  • Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach
  • Luki w konfiguracjach zabezpieczeń kontenerów powinny zostać skorygowane
  • Ustawienia oceny luk w zabezpieczeniach dla programu SQL Server powinny zawierać adres e-mail do odbierania raportów skanowania

1496 Luki w zabezpieczeniach systemów operacyjnych i oprogramowania układowego oceniane jako umiarkowane lub niskie ryzyko są poprawiane, aktualizowane lub ograniczane w ciągu jednego miesiąca od zidentyfikowania luki w zabezpieczeniach przez dostawców, niezależnych podmiotów trzecich, menedżerów systemu lub użytkowników

  • Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane
  • Ocena luk w zabezpieczeniach powinna być włączona na Twoich serwerach SQL
  • Ocena luk w zabezpieczeniach powinna być włączona w wystąpieniach zarządzanych SQL
  • Ocena luk w zabezpieczeniach powinna być włączona na maszynach wirtualnych
  • Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych
  • Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach
  • Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach
  • Luki w konfiguracjach zabezpieczeń kontenerów powinny zostać skorygowane
  • Ustawienia oceny luk w zabezpieczeniach dla programu SQL Server powinny zawierać adres e-mail do odbierania raportów skanowania

Wytyczne dotyczące zarządzania systemem — tworzenie i przywracanie kopii zapasowych danych

1511 Kopie zapasowe ważnych informacji, oprogramowania i ustawień konfiguracji są wykonywane co najmniej codziennie

  • Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii

Wytyczne dotyczące monitorowania systemu — rejestrowanie i inspekcja zdarzeń

1405 Scentralizowany obiekt rejestrowania jest wdrażany, a systemy są skonfigurowane do zapisywania dzienników zdarzeń w scentralizowanym obiekcie rejestrowania tak szybko, jak to możliwe po wystąpieniu każdego zdarzenia

  • Subskrypcje platformy Azure powinny mieć profil dziennika dla dziennika aktywności

0582 Następujące zdarzenia są rejestrowane w systemach operacyjnych: dostęp do ważnych danych i procesów, awarie aplikacji i wszelkie komunikaty o błędach, próby użycia specjalnych uprawnień, zmiany zasad zabezpieczeń, zmiany konfiguracji systemu, zmiany konfiguracji systemu nazw domen (DNS) i żądań protokołu HTTP (Hypertext Transfer Protocol), nieudane próby uzyskania dostępu do danych i zasobów systemowych, awarie usługi i ponowne uruchomienia, uruchamianie i zamykanie systemu, transfer danych do nośnika zewnętrznego, zarządzanie użytkownikami lub grupami, używanie specjalnych uprawnień

  • [Wersja zapoznawcza]: Inspekcja wdrożenia agenta usługi Log Analytics — obraz maszyny wirtualnej (OS) nie ma na liście
  • Inspekcja wdrożenia agenta usługi Log Analytics w zestawie skalowania maszyn wirtualnych — obraz maszyny wirtualnej (OS) nie ma na liście
  • Inspekcja obszaru roboczego usługi Log Analytics dla maszyny wirtualnej — niezgodność raportów
  • Audit diagnostic setting (Przeprowadzaj inspekcję ustawienia diagnostyki)

1537 Następujące zdarzenia są rejestrowane dla baz danych: dostęp do szczególnie ważnych informacji, dodawanie nowych użytkowników, szczególnie uprzywilejowanych użytkowników, wszelkie zapytania zawierające komentarze, każde zapytanie zawierające wiele osadzonych zapytań, alerty lub błędy bazy danych, próby podniesienia uprawnień, próby uzyskania dostępu, który zakończył się powodzeniem lub niepowodzeniem, zmiany struktury bazy danych, zmiany ról użytkownika lub uprawnień bazy danych, akcje administratora bazy danych, logowania bazy danych i wylogowywanie, modyfikacje danych, używanie poleceń wykonywalnych

  • Zaawansowane zabezpieczenia danych powinny być włączone na Twoich serwerach SQL
  • Audit diagnostic setting (Przeprowadzaj inspekcję ustawienia diagnostyki)
  • Zaawansowane zabezpieczenia danych powinny być włączone w wystąpieniach zarządzanych SQL

Wytyczne dotyczące monitorowania systemu — zarządzanie lukami w zabezpieczeniach

0911 Oceny luk w zabezpieczeniach i testy penetracyjne są przeprowadzane przez odpowiednio wykwalifikowanych pracowników przed wdrożeniem systemu, po znacznej zmianie systemu i co najmniej rocznie lub zgodnie z opisem przez właściciela systemu

  • Luki w zabezpieczeniach baz danych SQL powinny zostać skorygowane
  • Ocena luk w zabezpieczeniach powinna być włączona na Twoich serwerach SQL
  • Ocena luk w zabezpieczeniach powinna być włączona w wystąpieniach zarządzanych SQL
  • Ocena luk w zabezpieczeniach powinna być włączona na maszynach wirtualnych
  • Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń w zestawach skalowania maszyn wirtualnych
  • Luki w zabezpieczeniach powinny zostać skorygowane przez rozwiązanie do oceny luk w zabezpieczeniach
  • Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach
  • Luki w konfiguracjach zabezpieczeń kontenerów powinny zostać skorygowane

Wytyczne dotyczące zarządzania systemami baz danych — serwery baz danych

1425 Dyski twarde serwerów baz danych są szyfrowane przy użyciu pełnego szyfrowania dysków

  • Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych
  • Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL

1277 Informacje przekazywane między serwerami baz danych a aplikacjami internetowymi są szyfrowane

  • Powinny być włączone tylko bezpieczne połączenia z pamięcią podręczną Redis Cache
  • Należy włączyć bezpieczny transfer na konta magazynu
  • Pokaż wyniki inspekcji z serwerów sieci Web systemu Windows, które nie korzystają z bezpiecznych protokołów komunikacyjnych
  • Wdrażanie wymagań wstępnych w celu inspekcji serwerów sieci Web z systemem Windows, które nie korzystają z bezpiecznych protokołów komunikacyjnych

Wytyczne dotyczące zarządzania systemami baz danych — oprogramowanie systemu zarządzania bazami danych

1260 Domyślne konta administratora bazy danych są wyłączone, zmienione lub zmienione ich hasła

  • Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL

1262 Administratorzy bazy danych mają unikatowe i możliwe do zidentyfikowania konta

  • Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL

1261 Konta administratora bazy danych nie są współużytkowane w różnych bazach danych

  • Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL

1263 Konta administratora bazy danych są używane wyłącznie do zadań administracyjnych, a standardowe konta bazy danych używane do interakcji ogólnego przeznaczenia z bazą danych

  • Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL

1264 Dostęp administratora bazy danych jest ograniczony do zdefiniowanych ról, a nie kont z domyślnymi uprawnieniami administracyjnymi lub wszystkimi uprawnieniami

  • Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL

Wskazówki dotyczące korzystania z kryptografii — podstawy kryptograficzne

0459 Oprogramowanie szyfrowania używane do przechowywania danych implementuje pełne szyfrowanie dysku lub częściowe szyfrowanie, gdzie mechanizmy kontroli dostępu zezwalają tylko na zapisywanie w zaszyfrowanej partycji

  • Szyfrowanie dysków powinno być stosowane na maszynach wirtualnych

Wytyczne dotyczące używania kryptografii — Transport Layer Security

1139 Jest używana tylko najnowsza wersja protokołu TLS

  • Najnowsza wersja protokołu TLS powinna być używana w aplikacji interfejsu API
  • Najnowsza wersja protokołu TLS powinna być używana w aplikacji internetowej
  • Najnowsza wersja protokołu TLS powinna być używana w aplikacji funkcji
  • Wdrażanie wymagań wstępnych w celu inspekcji serwerów sieci Web z systemem Windows, które nie korzystają z bezpiecznych protokołów komunikacyjnych
  • Pokaż wyniki inspekcji z serwerów sieci Web systemu Windows, które nie korzystają z bezpiecznych protokołów komunikacyjnych

Wskazówki dotyczące transferów danych i filtrowania zawartości — filtrowanie zawartości

Skanowanie antywirusowe 1288 przy użyciu wielu różnych aparatów skanowania odbywa się na całej zawartości

  • Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows
  • Rozwiązanie Endpoint Protection powinno być zainstalowane w zestawach skalowania maszyn wirtualnych
  • Monitoruj brakujący program Endpoint Protection w usłudze Azure Security Center

Wskazówki dotyczące transferów danych i filtrowania zawartości — tworzenie aplikacji internetowych

1552 Cała zawartość aplikacji internetowej jest oferowana wyłącznie przy użyciu protokołu HTTPS

  • Aplikacja funkcji powinna być dostępna tylko za pośrednictwem protokołu HTTPS
  • Aplikacja interfejsu API powinna być dostępna tylko za pośrednictwem protokołu HTTPS
  • Aplikacja internetowa powinna być dostępna tylko za pośrednictwem protokołu HTTPS
  • Powinny być włączone tylko bezpieczne połączenia z pamięcią podręczną Redis Cache

Mechanizmy zabezpieczeń oparte na przeglądarce sieci Web 1424 są implementowane dla aplikacji internetowych w celu ochrony aplikacji internetowych i użytkowników

  • Mechanizm CORS nie powinien zezwalać na dostęp do aplikacji internetowych ze wszystkich zasobów

Wskazówki dotyczące zarządzania siecią — projektowanie i konfiguracja sieci

0520 Mechanizmy kontroli dostępu do sieci są implementowane w sieciach, aby zapobiec połączeniu nieautoryzowanych urządzeń sieciowych

  • Inspekcja nieograniczonego dostępu sieciowego do kont magazynu

1182 Mechanizmy kontroli dostępu do sieci są implementowane w celu ograniczenia ruchu wewnątrz i między segmentami sieci tylko do tych, które są wymagane do celów biznesowych

  • Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń
  • Inspekcja nieograniczonego dostępu sieciowego do kont magazynu
  • Zalecenia dotyczące adaptacyjnego wzmacniania zabezpieczeń sieci powinny być stosowane na maszynach wirtualnych z dostępem do Internetu

Wytyczne dotyczące zarządzania siecią — ciągłość usług dla Usługi online

1431 Strategie zapobiegania atakom typu "odmowa usługi" i środki zaradcze zostały omówione z dostawcami usług, w szczególności: ich zdolność do wytrzymania ataków typu "odmowa usługi", wszelkie koszty, które mogą zostać poniesione przez klientów z powodu ataków typu "odmowa usługi", progi powiadamiania klientów lub wyłączania ich Usługi online podczas ataków typu "odmowa usługi", wstępnie zatwierdzone akcje, które można podjąć podczas ataków typu "odmowa usługi", uzgodnień dotyczących zapobiegania atakom typu "odmowa usługi" u dostawców nadrzędnych w celu blokowania złośliwego ruchu tak daleko do góry, jak to możliwe

  • Należy włączyć ochronę przed atakami DDoS

Uwaga

Dostępność określonych definicji usługi Azure Policy może się różnić w przypadku platformy Azure Government i innych chmur krajowych.

Następne kroki

Dodatkowe artykuły na temat strategii i sposobu ich używania:

Strategia ISM PROTECTED — omówieniestrategii ISM PROTECTED — kroki wdrażania