Udostępnij za pośrednictwem


Szczegóły wbudowanej inicjatywy CIS Microsoft Azure Foundations Benchmark 1.1.0 Regulatory Compliance

Poniższy artykuł zawiera szczegółowe informacje na temat sposobu mapowania wbudowanej definicji inicjatywy zgodności usługi Azure Policy na domeny zgodności i mechanizmy kontroli w modelu CIS Microsoft Azure Foundations Benchmark 1.1.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark 1.1.0. Aby zrozumieć własność, zapoznaj się z typem zasad i wspólną odpowiedzialnością w chmurze.

Poniższe mapowania dotyczą kontrolek CIS Microsoft Azure Foundations Benchmark 1.1.0 . Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy CIS Microsoft Azure Foundations Benchmark w wersji 1.1.0 Zgodność z przepisami.

Ważne

Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.

1 Zarządzanie tożsamościami i dostępem

Upewnij się, że uwierzytelnianie wieloskładnikowe jest włączone dla wszystkich uprzywilejowanych użytkowników

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Wdrażanie mechanizmów uwierzytelniania biometrycznego CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego Ręczne, wyłączone 1.1.0

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.10 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.10 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0

Upewnij się, że ustawienie "Użytkownicy mogą rejestrować aplikacje" ma wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.11 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 1.11 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Uprawnienia użytkownika-gościa są ograniczone" jest ustawiona na wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.12 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.12 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Projektowanie modelu kontroli dostępu CMA_0129 — projektowanie modelu kontroli dostępu Ręczne, wyłączone 1.1.0
Stosowanie dostępu z najniższymi uprawnieniami CMA_0212 — stosowanie dostępu do najniższych uprawnień Ręczne, wyłączone 1.1.0
Wymuszanie dostępu logicznego CMA_0245 — wymuszanie dostępu logicznego Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Wymagaj zatwierdzenia do utworzenia konta CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta Ręczne, wyłączone 1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych Ręczne, wyłączone 1.1.0

Upewnij się, że ustawienie "Członkowie mogą zapraszać" ma wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.13 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.13 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Projektowanie modelu kontroli dostępu CMA_0129 — projektowanie modelu kontroli dostępu Ręczne, wyłączone 1.1.0
Stosowanie dostępu z najniższymi uprawnieniami CMA_0212 — stosowanie dostępu do najniższych uprawnień Ręczne, wyłączone 1.1.0
Wymuszanie dostępu logicznego CMA_0245 — wymuszanie dostępu logicznego Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Wymagaj zatwierdzenia do utworzenia konta CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta Ręczne, wyłączone 1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Goście mogą zapraszać" ma wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.14 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.14 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Projektowanie modelu kontroli dostępu CMA_0129 — projektowanie modelu kontroli dostępu Ręczne, wyłączone 1.1.0
Stosowanie dostępu z najniższymi uprawnieniami CMA_0212 — stosowanie dostępu do najniższych uprawnień Ręczne, wyłączone 1.1.0
Wymuszanie dostępu logicznego CMA_0245 — wymuszanie dostępu logicznego Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Wymagaj zatwierdzenia do utworzenia konta CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta Ręczne, wyłączone 1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Ogranicz dostęp do portalu administracyjnego usługi Azure AD" jest ustawiona na wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.15 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie dostępu logicznego CMA_0245 — wymuszanie dostępu logicznego Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0
Wymagaj zatwierdzenia do utworzenia konta CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta Ręczne, wyłączone 1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Samoobsługowe zarządzanie grupami" jest ustawiona na "Nie"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.16 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Upewnij się, że ustawienie "Użytkownicy mogą tworzyć grupy zabezpieczeń" ma wartość "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.17 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.17 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Użytkownicy, którzy mogą zarządzać grupami zabezpieczeń" jest ustawiona na wartość "Brak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.18 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Użytkownicy mogą tworzyć grupy usługi Office 365" jest ustawiona na "Nie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.19 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Upewnij się, że uwierzytelnianie wieloskładnikowe jest włączone dla wszystkich nieuprzywilejowanych użytkowników

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.2 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.2 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Wdrażanie mechanizmów uwierzytelniania biometrycznego CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Użytkownicy, którzy mogą zarządzać grupami usługi Office 365" jest ustawiona na wartość "Brak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.20 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.20 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Wymagaj uwierzytelniania wieloskładnikowego do przyłączenia urządzeń" jest ustawiona na wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.22 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wdrażanie mechanizmów uwierzytelniania biometrycznego CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu zdalnego CMA_0024 — autoryzowanie dostępu zdalnego Ręczne, wyłączone 1.1.0
Szkolenie mobilności dokumentów CMA_0191 — szkolenie mobilności dokumentów Ręczne, wyłączone 1.1.0
Dokumentowanie wytycznych dotyczących dostępu zdalnego CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego Ręczne, wyłączone 1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych Ręczne, wyłączone 1.1.0
Zapewnianie szkolenia w zakresie prywatności CMA_0415 — zapewnianie szkolenia w zakresie prywatności Ręczne, wyłączone 1.1.0
Spełnianie wymagań dotyczących jakości tokenów CMA_0487 — spełnianie wymagań dotyczących jakości tokenu Ręczne, wyłączone 1.1.0

Upewnij się, że nie utworzono niestandardowych ról właściciela subskrypcji

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.23 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 1.23 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Projektowanie modelu kontroli dostępu CMA_0129 — projektowanie modelu kontroli dostępu Ręczne, wyłączone 1.1.0
Stosowanie dostępu z najniższymi uprawnieniami CMA_0212 — stosowanie dostępu do najniższych uprawnień Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Upewnij się, że nie ma użytkowników-gości

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. AuditIfNotExists, Disabled 1.0.0
Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. AuditIfNotExists, Disabled 1.0.0
Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. AuditIfNotExists, Disabled 1.0.0
Ponowne przypisywanie lub usuwanie uprawnień użytkownika zgodnie z potrzebami CMA_C1040 — przypisz ponownie lub usuń uprawnienia użytkownika zgodnie z potrzebami Ręczne, wyłączone 1.1.0
Przeglądanie dzienników aprowizacji kont CMA_0460 — przeglądanie dzienników aprowizacji kont Ręczne, wyłączone 1.1.0
Przeglądanie kont użytkowników CMA_0480 — przeglądanie kont użytkowników Ręczne, wyłączone 1.1.0
Przeglądanie uprawnień użytkownika CMA_C1039 — przeglądanie uprawnień użytkownika Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Zezwalaj użytkownikom na zapamiętanie uwierzytelniania wieloskładnikowego na urządzeniach, którym ufają", to "Wyłączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wdrażanie mechanizmów uwierzytelniania biometrycznego CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego Ręczne, wyłączone 1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych Ręczne, wyłączone 1.1.0
Spełnianie wymagań dotyczących jakości tokenów CMA_0487 — spełnianie wymagań dotyczących jakości tokenu Ręczne, wyłączone 1.1.0

Upewnij się, że wartość "Liczba dni, po których użytkownicy zostaną poproszeni o ponowne potwierdzenie informacji uwierzytelniania" nie jest ustawiona na wartość "0".

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Automatyzowanie zarządzania kontami CMA_0026 — automatyzowanie zarządzania kontami Ręczne, wyłączone 1.1.0
Zarządzanie kontami systemowymi i administracyjnymi CMA_0368 — zarządzanie kontami systemu i administratorów Ręczne, wyłączone 1.1.0
Monitorowanie dostępu w całej organizacji CMA_0376 — monitorowanie dostępu w całej organizacji Ręczne, wyłączone 1.1.0
Powiadamianie, gdy konto nie jest potrzebne CMA_0383 — powiadom, gdy konto nie jest potrzebne Ręczne, wyłączone 1.1.0

Upewnij się, że "Powiadamiaj użytkowników o zresetowaniu haseł?". jest ustawiona na wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Automatyzowanie zarządzania kontami CMA_0026 — automatyzowanie zarządzania kontami Ręczne, wyłączone 1.1.0
Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia Ręczne, wyłączone 1.1.0
Zarządzanie kontami systemowymi i administracyjnymi CMA_0368 — zarządzanie kontami systemu i administratorów Ręczne, wyłączone 1.1.0
Monitorowanie dostępu w całej organizacji CMA_0376 — monitorowanie dostępu w całej organizacji Ręczne, wyłączone 1.1.0
Powiadamianie, gdy konto nie jest potrzebne CMA_0383 — powiadom, gdy konto nie jest potrzebne Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Powiadom wszystkich administratorów, gdy inni administratorzy zresetują swoje hasło?". jest ustawiona na wartość "Tak"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Automatyzowanie zarządzania kontami CMA_0026 — automatyzowanie zarządzania kontami Ręczne, wyłączone 1.1.0
Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia Ręczne, wyłączone 1.1.0
Zarządzanie kontami systemowymi i administracyjnymi CMA_0368 — zarządzanie kontami systemu i administratorów Ręczne, wyłączone 1.1.0
Monitorowanie dostępu w całej organizacji CMA_0376 — monitorowanie dostępu w całej organizacji Ręczne, wyłączone 1.1.0
Monitorowanie przypisywania ról uprzywilejowanych CMA_0378 — monitorowanie przypisywania ról uprzywilejowanych Ręczne, wyłączone 1.1.0
Powiadamianie, gdy konto nie jest potrzebne CMA_0383 — powiadom, gdy konto nie jest potrzebne Ręczne, wyłączone 1.1.0
Ograniczanie dostępu do uprzywilejowanych kont CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych Ręczne, wyłączone 1.1.0
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami Ręczne, wyłączone 1.1.0
Korzystanie z usługi Privileged Identity Management CMA_0533 — używanie usługi Privileged Identity Management Ręczne, wyłączone 1.1.0

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 1.9 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 1.9 : współużytkowany)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0

2 Security Center

Upewnij się, że wybrano warstwę cenową Standardowa

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.1 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Azure Defender for App Service powinna być włączona Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. AuditIfNotExists, Disabled 1.0.3
Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender dla usługi Key Vault powinna być włączona Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. AuditIfNotExists, Disabled 1.0.3
Usługa Azure Defender dla serwerów powinna być włączona Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. AuditIfNotExists, Disabled 1.0.3
Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Należy włączyć usługę Microsoft Defender for Containers Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. AuditIfNotExists, Disabled 1.0.0
Usługa Microsoft Defender for Storage powinna być włączona Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. AuditIfNotExists, Disabled 1.0.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0

Upewnij się, że domyślne ustawienie zasad usługi ASC "Monitorowanie oceny luk w zabezpieczeniach" nie jest "Wyłączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.10 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.10 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. AuditIfNotExists, Disabled 3.0.0

Upewnij się, że domyślne ustawienie zasad usługi ASC "Monitorowanie szyfrowania obiektów blob usługi Storage" nie jest "Wyłączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.11 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.11 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0

Upewnij się, że domyślne ustawienie zasad usługi ASC "Monitorowanie dostępu do sieci JIT" nie jest "Wyłączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.12 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone CMA_C1700 — wykrywanie usług sieciowych, które nie zostały autoryzowane lub zatwierdzone Ręczne, wyłączone 1.1.0
Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami AuditIfNotExists, Disabled 3.0.0

Upewnij się, że domyślne ustawienie zasad usługi ASC "Monitorowanie inspekcji SQL" nie jest "Wyłączone"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 2.14 Ownership: Shared (Rekomendacja dotycząca testu porównawczego CIS Microsoft Azure Foundations 2.14 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Inspekcja na serwerze SQL powinna być włączona Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. AuditIfNotExists, Disabled 2.0.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że domyślne ustawienie zasad usługi ASC "Monitorowanie szyfrowania SQL" nie jest "Wyłączone"

Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.15 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 2.15 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0
Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności AuditIfNotExists, Disabled 2.0.0

Upewnij się, że ustawiono opcję "Wiadomości e-mail kontaktów zabezpieczeń"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.16 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. AuditIfNotExists, Disabled 1.0.1

Upewnij się, że ustawienie "Wyślij powiadomienie e-mail dla alertów o wysokiej ważności" ma wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.18 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 2.18 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. AuditIfNotExists, Disabled 1.2.0

Upewnij się, że opcja "Wyślij wiadomość e-mail również do właścicieli subskrypcji" jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.19 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. AuditIfNotExists, Disabled 2.1.0

Upewnij się, że ustawienie "Automatyczna aprowizacja agenta monitorowania" ma wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Operacje zabezpieczeń dokumentu CMA_0202 — operacje zabezpieczeń dokumentu Ręczne, wyłączone 1.1.0
Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego Ręczne, wyłączone 1.1.0

Upewnij się, że domyślne ustawienie zasad usługi ASC "Monitorowanie aktualizacji systemowych" nie jest "Wyłączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Upewnij się, że domyślne ustawienie zasad usługi ASC "Monitorowanie luk w zabezpieczeniach systemu operacyjnego" nie jest "Wyłączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0
Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia AuditIfNotExists, Disabled 3.1.0

Upewnij się, że domyślne ustawienie zasad usługi ASC "Monitorowanie programu Endpoint Protection" nie jest "Wyłączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0

Upewnij się, że domyślne ustawienie zasad usługi ASC "Monitorowanie szyfrowania dysków" nie jest "Wyłączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0

Upewnij się, że domyślne ustawienie zasad usługi ASC "Monitorowanie sieciowych grup zabezpieczeń" nie jest "Wyłączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przepływ informacji sterujących CMA_0079 — przepływ informacji sterujących Ręczne, wyłączone 1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji Ręczne, wyłączone 1.1.0

Upewnij się, że domyślne ustawienie zasad usługi ASC "Monitorowanie zapory aplikacji internetowej" nie jest "Wyłączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przepływ informacji sterujących CMA_0079 — przepływ informacji sterujących Ręczne, wyłączone 1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji Ręczne, wyłączone 1.1.0

Upewnij się, że domyślne ustawienie zasad usługi ASC "Włącz monitorowanie zapory nowej generacji(NGFW) nie jest "wyłączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.9 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przepływ informacji sterujących CMA_0079 — przepływ informacji sterujących Ręczne, wyłączone 1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji Ręczne, wyłączone 1.1.0
Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. AuditIfNotExists, Disabled 3.0.0

3 konta magazynu

Upewnij się, że opcja "Wymagany bezpieczny transfer" jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona haseł za pomocą szyfrowania CMA_0408 — ochrona haseł za pomocą szyfrowania Ręczne, wyłączone 1.1.0
Bezpieczny transfer do kont magazynu powinien być włączony Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji Inspekcja, Odmowa, Wyłączone 2.0.0

Upewnij się, że klucze dostępu do konta magazynu są okresowo ponownie generowane

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie fizycznego procesu zarządzania kluczami CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami Ręczne, wyłączone 1.1.0
Definiowanie użycia kryptograficznego CMA_0120 — definiowanie użycia kryptograficznego Ręczne, wyłączone 1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Określanie wymagań dotyczących asercji CMA_0136 — określanie wymagań asercji Ręczne, wyłączone 1.1.0
Wystawianie certyfikatów kluczy publicznych CMA_0347 — wystawianie certyfikatów kluczy publicznych Ręczne, wyłączone 1.1.0
Zarządzanie symetrycznymi kluczami kryptograficznymi CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Ograniczanie dostępu do kluczy prywatnych CMA_0445 — ograniczanie dostępu do kluczy prywatnych Ręczne, wyłączone 1.1.0

Upewnij się, że rejestrowanie magazynu jest włączone dla usługi Kolejki dla żądań odczytu, zapisu i usuwania

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Konfigurowanie możliwości inspekcji platformy Azure CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure Ręczne, wyłączone 1.1.1
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że tokeny sygnatury dostępu współdzielonego wygasają w ciągu godziny

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wyłączanie wystawców uwierzytelnień po zakończeniu CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu Ręczne, wyłączone 1.1.0
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami Ręczne, wyłączone 1.1.0
Automatyczne kończenie sesji użytkownika CMA_C1054 — automatyczne kończenie sesji użytkownika Ręczne, wyłączone 1.1.0

Upewnij się, że tokeny sygnatury dostępu współdzielonego są dozwolone tylko za pośrednictwem protokołu HTTPS

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.5 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.5 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona haseł za pomocą szyfrowania CMA_0408 — ochrona haseł za pomocą szyfrowania Ręczne, wyłączone 1.1.0

Upewnij się, że dla kontenerów obiektów blob ustawiono wartość "Poziom dostępu publicznego"

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.6 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 3.6 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 3.1.0-preview
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie dostępu logicznego CMA_0245 — wymuszanie dostępu logicznego Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Wymagaj zatwierdzenia do utworzenia konta CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta Ręczne, wyłączone 1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych Ręczne, wyłączone 1.1.0

Upewnij się, że domyślna reguła dostępu do sieci dla kont magazynu jest ustawiona na odmowę

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.7 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.7 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konta magazynu powinny ograniczać dostęp sieciowy Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych Inspekcja, Odmowa, Wyłączone 1.1.1

Upewnij się, że opcja "Zaufane usługi firmy Microsoft" jest włączona na potrzeby dostępu do konta magazynu

ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.8 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 3.8 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przepływ informacji sterujących CMA_0079 — przepływ informacji sterujących Ręczne, wyłączone 1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji Ręczne, wyłączone 1.1.0
Ustanawianie standardów konfiguracji zapory i routera CMA_0272 — ustanawianie standardów konfiguracji zapory i routera Ręczne, wyłączone 1.1.0
Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart Ręczne, wyłączone 1.1.0
Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi Ręczne, wyłączone 1.1.0
Konta magazynu powinny zezwalać na dostęp z zaufanych usługi firmy Microsoft Niektóre usługi firmy Microsoft, które współdziałają z kontami magazynu, działają z sieci, których nie można udzielić dostępu za pośrednictwem reguł sieciowych. Aby ułatwić pracę tego typu usług zgodnie z oczekiwaniami, zezwól zestawowi zaufanych usługi firmy Microsoft na obejście reguł sieci. Te usługi będą następnie używać silnego uwierzytelniania w celu uzyskania dostępu do konta magazynu. Inspekcja, Odmowa, Wyłączone 1.0.0

4 Usługi baz danych

Upewnij się, że właściwość "Inspekcja" jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Inspekcja na serwerze SQL powinna być włączona Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. AuditIfNotExists, Disabled 2.0.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że funkcja ochrony TDE serwera SQL jest szyfrowana przy użyciu funkcji BYOK (Użyj własnego klucza)

IDENTYFIKATOR: REKOMENDACJA CIS Microsoft Azure Foundations Benchmark 4.10 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0
Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. Inspekcja, Odmowa, Wyłączone 2.0.0
Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. Inspekcja, Odmowa, Wyłączone 2.0.1

Upewnij się, że opcja "Wymuszaj połączenie SSL" jest ustawiona na wartość "ENABLED" dla serwera bazy danych MySQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.11 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 4.11 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych Ręczne, wyłączone 1.1.0
Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. Inspekcja, wyłączone 1.0.1
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona haseł za pomocą szyfrowania CMA_0408 — ochrona haseł za pomocą szyfrowania Ręczne, wyłączone 1.1.0

Upewnij się, że parametr serwera "log_checkpoints" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.12 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Punkty kontrolne dziennika powinny być włączone dla serwerów baz danych PostgreSQL Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_checkpoints. AuditIfNotExists, Disabled 1.0.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że dla serwera bazy danych PostgreSQL ustawiono wartość "Wymuszaj połączenie SSL"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.13 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 4.13 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych Ręczne, wyłączone 1.1.0
Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. Inspekcja, wyłączone 1.0.1
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona haseł za pomocą szyfrowania CMA_0408 — ochrona haseł za pomocą szyfrowania Ręczne, wyłączone 1.1.0

Upewnij się, że parametr serwera "log_connections" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 4.14 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 4.14 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Połączenia dzienników powinny być włączone dla serwerów baz danych PostgreSQL Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_connections. AuditIfNotExists, Disabled 1.0.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że parametr serwera "log_disconnections" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.15 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Rozłączenia powinny być rejestrowane dla serwerów bazy danych PostgreSQL. Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączenia log_disconnections. AuditIfNotExists, Disabled 1.0.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że parametr serwera "log_duration" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.16 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że parametr serwera "connection_throttling" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.17 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 4.17 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Należy włączyć ograniczanie połączeń dla serwerów baz danych PostgreSQL Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ograniczania połączeń. To ustawienie umożliwia tymczasowe ograniczanie przepustowości połączenia na adres IP dla zbyt wielu nieprawidłowych niepowodzeń logowania haseł. AuditIfNotExists, Disabled 1.0.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że parametr serwera "log_retention_days" jest dłuższy niż 3 dni dla serwera bazy danych PostgreSQL

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.18 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 4.18 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania Ręczne, wyłączone 1.1.0
Zarządzanie i monitorowanie działań przetwarzania inspekcji CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji Ręczne, wyłączone 1.1.0
Zachowywanie zasad i procedur zabezpieczeń CMA_0454 — zachowanie zasad i procedur zabezpieczeń Ręczne, wyłączone 1.1.0
Zachowywanie danych zakończonych użytkowników CMA_0455 — zachowywanie zakończonych danych użytkownika Ręczne, wyłączone 1.1.0

Upewnij się, że skonfigurowano administratora usługi Azure Active Directory

Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.19 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Automatyzowanie zarządzania kontami CMA_0026 — automatyzowanie zarządzania kontami Ręczne, wyłączone 1.1.0
Zarządzanie kontami systemowymi i administracyjnymi CMA_0368 — zarządzanie kontami systemu i administratorów Ręczne, wyłączone 1.1.0
Monitorowanie dostępu w całej organizacji CMA_0376 — monitorowanie dostępu w całej organizacji Ręczne, wyłączone 1.1.0
Powiadamianie, gdy konto nie jest potrzebne CMA_0383 — powiadom, gdy konto nie jest potrzebne Ręczne, wyłączone 1.1.0

Upewnij się, że zasady "AuditActionGroups" w zasadach inspekcji dla serwera SQL są prawidłowo ustawione

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0
Ustawienia inspekcji SQL powinny mieć grupy akcji skonfigurowane do przechwytywania krytycznych działań Właściwość AuditActionsAndGroups powinna zawierać co najmniej SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP w celu zapewnienia dokładnego rejestrowania inspekcji AuditIfNotExists, Disabled 1.0.0

Upewnij się, że przechowywanie "Inspekcja" jest "większe niż 90 dni"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 4.3 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania Ręczne, wyłączone 1.1.0
Zarządzanie i monitorowanie działań przetwarzania inspekcji CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji Ręczne, wyłączone 1.1.0
Zachowywanie zasad i procedur zabezpieczeń CMA_0454 — zachowanie zasad i procedur zabezpieczeń Ręczne, wyłączone 1.1.0
Zachowywanie danych zakończonych użytkowników CMA_0455 — zachowywanie zakończonych danych użytkownika Ręczne, wyłączone 1.1.0
Serwery SQL z inspekcją miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji programu SQL Server na koncie magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. AuditIfNotExists, Disabled 3.0.0

Upewnij się, że opcja "Advanced Data Security" na serwerze SQL jest ustawiona na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Typy wykrywania zagrożeń" jest ustawiona na "Wszystkie"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.5 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 4.5 : własność udostępniona)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Wyślij alerty do" jest ustawiona

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.6 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 4.6 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że opcja "Usługa poczty e-mail i współadministratorzy" ma wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że skonfigurowano administratora usługi Azure Active Directory

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 4.8 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 4.8 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft AuditIfNotExists, Disabled 1.0.0
Automatyzowanie zarządzania kontami CMA_0026 — automatyzowanie zarządzania kontami Ręczne, wyłączone 1.1.0
Zarządzanie kontami systemowymi i administracyjnymi CMA_0368 — zarządzanie kontami systemu i administratorów Ręczne, wyłączone 1.1.0
Monitorowanie dostępu w całej organizacji CMA_0376 — monitorowanie dostępu w całej organizacji Ręczne, wyłączone 1.1.0
Powiadamianie, gdy konto nie jest potrzebne CMA_0383 — powiadom, gdy konto nie jest potrzebne Ręczne, wyłączone 1.1.0

Upewnij się, że wartość "Szyfrowanie danych" jest ustawiona na wartość "Włączone" w usłudze SQL Database

ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.9 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 4.9 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0
Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności AuditIfNotExists, Disabled 2.0.0

5 Rejestrowanie i monitorowanie

Upewnij się, że profil dziennika istnieje

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania Ręczne, wyłączone 1.1.0
Subskrypcje platformy Azure powinny mieć profil dziennika dla dziennika aktywności Te zasady zapewniają włączenie profilu dziennika na potrzeby eksportowania dzienników aktywności. Przeprowadza inspekcję, czy nie utworzono profilu dziennika w celu wyeksportowania dzienników na konto magazynu lub do centrum zdarzeń. AuditIfNotExists, Disabled 1.0.0
Zarządzanie i monitorowanie działań przetwarzania inspekcji CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji Ręczne, wyłączone 1.1.0
Zachowywanie zasad i procedur zabezpieczeń CMA_0454 — zachowanie zasad i procedur zabezpieczeń Ręczne, wyłączone 1.1.0
Zachowywanie danych zakończonych użytkowników CMA_0455 — zachowywanie zakończonych danych użytkownika Ręczne, wyłączone 1.1.0

Upewnij się, że ustawienie przechowywania dziennika aktywności wynosi 365 dni lub więcej

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dziennik aktywności powinien być zachowywany przez co najmniej jeden rok Te zasady sprawdzają dziennik aktywności, jeśli okres przechowywania nie jest ustawiony na 365 dni lub na zawsze (dni przechowywania ustawione na 0). AuditIfNotExists, Disabled 1.0.0
Przestrzegaj zdefiniowanych okresów przechowywania CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania Ręczne, wyłączone 1.1.0
Zachowywanie zasad i procedur zabezpieczeń CMA_0454 — zachowanie zasad i procedur zabezpieczeń Ręczne, wyłączone 1.1.0
Zachowywanie danych zakończonych użytkowników CMA_0455 — zachowywanie zakończonych danych użytkownika Ręczne, wyłączone 1.1.0

Upewnij się, że profil inspekcji przechwytuje wszystkie działania

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania Ręczne, wyłączone 1.1.0
Profil dziennika usługi Azure Monitor powinien zbierać dzienniki dla kategorii "write", "delete" i "action" Te zasady zapewniają, że profil dziennika zbiera dzienniki dla kategorii "write", "delete" i "action" AuditIfNotExists, Disabled 1.0.0
Zarządzanie i monitorowanie działań przetwarzania inspekcji CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji Ręczne, wyłączone 1.1.0
Zachowywanie zasad i procedur zabezpieczeń CMA_0454 — zachowanie zasad i procedur zabezpieczeń Ręczne, wyłączone 1.1.0
Zachowywanie danych zakończonych użytkowników CMA_0455 — zachowywanie zakończonych danych użytkownika Ręczne, wyłączone 1.1.0

Upewnij się, że profil dziennika przechwytuje dzienniki aktywności dla wszystkich regionów, w tym globalnych

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania Ręczne, wyłączone 1.1.0
Usługa Azure Monitor powinna zbierać dzienniki aktywności ze wszystkich regionów Te zasady przeprowadzają inspekcję profilu dziennika usługi Azure Monitor, który nie eksportuje działań ze wszystkich regionów pomoc techniczna platformy Azure, w tym globalnych. AuditIfNotExists, Disabled 2.0.0
Zarządzanie i monitorowanie działań przetwarzania inspekcji CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji Ręczne, wyłączone 1.1.0
Zachowywanie zasad i procedur zabezpieczeń CMA_0454 — zachowanie zasad i procedur zabezpieczeń Ręczne, wyłączone 1.1.0
Zachowywanie danych zakończonych użytkowników CMA_0455 — zachowywanie zakończonych danych użytkownika Ręczne, wyłączone 1.1.0

Upewnij się, że kontener magazynu przechowując dzienniki aktywności nie jest publicznie dostępny

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 3.1.0-preview
Włączanie autoryzacji podwójnej lub wspólnej CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji Ręczne, wyłączone 1.1.0
Ochrona informacji inspekcji CMA_0401 — ochrona informacji inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK (Użyj własnego klucza)

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Włączanie autoryzacji podwójnej lub wspólnej CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji Ręczne, wyłączone 1.1.0
Zachowaj integralność systemu inspekcji CMA_C1133 — utrzymywanie integralności systemu inspekcji Ręczne, wyłączone 1.1.0
Ochrona informacji inspekcji CMA_0401 — ochrona informacji inspekcji Ręczne, wyłączone 1.1.0
Konto magazynu zawierające kontener z dziennikami aktywności musi być zaszyfrowane za pomocą funkcji BYOK Te zasady sprawdzają, czy konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK. Zasady działają tylko wtedy, gdy konto magazynu znajduje się w tej samej subskrypcji co dzienniki aktywności zgodnie z projektem. Więcej informacji na temat szyfrowania usługi Azure Storage w spoczynku można znaleźć tutaj https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0

Upewnij się, że rejestrowanie dla usługi Azure KeyVault jest włączone

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Dzienniki zasobów w zarządzanym module HSM usługi Azure Key Vault powinny być włączone Aby ponownie utworzyć ślady aktywności na potrzeby badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci, możesz chcieć przeprowadzić inspekcję, włączając dzienniki zasobów w zarządzanych modułach HSM. Postępuj zgodnie z instrukcjami w tym miejscu: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Disabled 1.1.0
Dzienniki zasobów w usłudze Key Vault powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla tworzenia przypisania zasad

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zasad Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 3.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że istnieje alert dziennika aktywności dla tworzenia lub aktualizowania sieciowej grupy zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla usuwania sieciowej grupy zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla reguły tworzenia lub aktualizowania sieciowej grupy zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że dla reguły usuwania sieciowej grupy zabezpieczeń istnieje alert dziennika aktywności

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla rozwiązania Tworzenia lub aktualizowania zabezpieczeń

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla rozwiązania zabezpieczeń usuwania

Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że dla reguły zapory programu SQL Server istnieje alert tworzenia lub aktualizowania lub usuwania dziennika aktywności

ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Upewnij się, że alert dziennika aktywności istnieje dla zasad zabezpieczeń aktualizacji

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.9 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 5.2.9 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności. AuditIfNotExists, Disabled 1.0.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

6 Sieci

Upewnij się, że żadne bazy danych SQL nie zezwalają na ruch przychodzący 0.0.0.0/0 (DOWOLNY adres IP)

ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.3 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 6.3 : własność udostępniona)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przepływ informacji sterujących CMA_0079 — przepływ informacji sterujących Ręczne, wyłączone 1.1.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji Ręczne, wyłączone 1.1.0

Upewnij się, że okres przechowywania dziennika przepływu sieciowej grupy zabezpieczeń wynosi "więcej niż 90 dni"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania Ręczne, wyłączone 1.1.0
Zachowywanie zasad i procedur zabezpieczeń CMA_0454 — zachowanie zasad i procedur zabezpieczeń Ręczne, wyłączone 1.1.0
Zachowywanie danych zakończonych użytkowników CMA_0455 — zachowywanie zakończonych danych użytkownika Ręczne, wyłączone 1.1.0

Upewnij się, że usługa Network Watcher jest włączona

ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Network Watcher powinna być włączona Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. AuditIfNotExists, Disabled 3.0.0
Weryfikowanie funkcji zabezpieczeń CMA_C1708 — weryfikowanie funkcji zabezpieczeń Ręczne, wyłączone 1.1.0

7 Maszyny wirtualne

Upewnij się, że dysk systemu operacyjnego jest zaszyfrowany

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0

Upewnij się, że dyski danych są szyfrowane

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0

Upewnij się, że "Niedołączone dyski" są szyfrowane

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.3 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 7.3 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0

Upewnij się, że zainstalowano tylko zatwierdzone rozszerzenia

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej Te zasady określają rozszerzenia maszyny wirtualnej, które nie są zatwierdzone. Inspekcja, Odmowa, Wyłączone 1.0.0

Upewnij się, że zastosowano najnowsze poprawki systemu operacyjnego dla wszystkich maszyn wirtualnych

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.5 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 7.5 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Upewnij się, że jest zainstalowana ochrona punktu końcowego dla wszystkich maszyn wirtualnych

ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Operacje zabezpieczeń dokumentu CMA_0202 — operacje zabezpieczeń dokumentu Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0
Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji Ręczne, wyłączone 1.1.0

8 Inne zagadnienia dotyczące zabezpieczeń

Upewnij się, że data wygaśnięcia jest ustawiona na wszystkich kluczach

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie fizycznego procesu zarządzania kluczami CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami Ręczne, wyłączone 1.1.0
Definiowanie użycia kryptograficznego CMA_0120 — definiowanie użycia kryptograficznego Ręczne, wyłączone 1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Określanie wymagań dotyczących asercji CMA_0136 — określanie wymagań asercji Ręczne, wyłączone 1.1.0
Wystawianie certyfikatów kluczy publicznych CMA_0347 — wystawianie certyfikatów kluczy publicznych Ręczne, wyłączone 1.1.0
Klucze usługi Key Vault powinny mieć datę wygaśnięcia Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. Inspekcja, Odmowa, Wyłączone 1.0.2
Zarządzanie symetrycznymi kluczami kryptograficznymi CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Ograniczanie dostępu do kluczy prywatnych CMA_0445 — ograniczanie dostępu do kluczy prywatnych Ręczne, wyłączone 1.1.0

Upewnij się, że data wygaśnięcia jest ustawiona na wszystkie wpisy tajne

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie fizycznego procesu zarządzania kluczami CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami Ręczne, wyłączone 1.1.0
Definiowanie użycia kryptograficznego CMA_0120 — definiowanie użycia kryptograficznego Ręczne, wyłączone 1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Określanie wymagań dotyczących asercji CMA_0136 — określanie wymagań asercji Ręczne, wyłączone 1.1.0
Wystawianie certyfikatów kluczy publicznych CMA_0347 — wystawianie certyfikatów kluczy publicznych Ręczne, wyłączone 1.1.0
Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych. Inspekcja, Odmowa, Wyłączone 1.0.2
Zarządzanie symetrycznymi kluczami kryptograficznymi CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Ograniczanie dostępu do kluczy prywatnych CMA_0445 — ograniczanie dostępu do kluczy prywatnych Ręczne, wyłączone 1.1.0

Upewnij się, że blokady zasobów są ustawione dla zasobów platformy Azure o znaczeniu krytycznym

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.3 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 8.3 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Upewnij się, że magazyn kluczy można odzyskać

IDENTYFIKATOR: REKOMENDACJA CIS Microsoft Azure Foundations Benchmark 8.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zarządzany moduł HSM usługi Azure Key Vault powinien mieć włączoną ochronę przed przeczyszczeniem Złośliwe usunięcie zarządzanego modułu HSM usługi Azure Key Vault może prowadzić do trwałej utraty danych. Złośliwy tester w organizacji może potencjalnie usunąć i przeczyścić zarządzany moduł HSM usługi Azure Key Vault. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałego zarządzanego modułu HSM usługi Azure Key Vault. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić zarządzanego modułu HSM usługi Azure Key Vault w okresie przechowywania usuwania nietrwałego. Inspekcja, Odmowa, Wyłączone 1.0.0
Magazyny kluczy powinny mieć włączoną ochronę usuwania Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe. Inspekcja, Odmowa, Wyłączone 2.1.0
Utrzymywanie dostępności informacji CMA_C1644 — utrzymywanie dostępności informacji Ręczne, wyłączone 1.1.0

Włączanie kontroli dostępu opartej na rolach (RBAC) w usługach Azure Kubernetes Services

ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie dostępu logicznego CMA_0245 — wymuszanie dostępu logicznego Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Wymagaj zatwierdzenia do utworzenia konta CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta Ręczne, wyłączone 1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych Ręczne, wyłączone 1.1.0
Kontrola dostępu oparta na rolach (RBAC) powinna być używana w usługach Kubernetes Services Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC), aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. Inspekcja, wyłączone 1.0.4

9 AppService

Upewnij się, że uwierzytelnianie usługi App Service jest ustawione w usłudze aplikacja systemu Azure Service

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Aplikacje usługi App Service powinny mieć włączone uwierzytelnianie aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji internetowej lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji internetowej. AuditIfNotExists, Disabled 2.0.1
Uwierzytelnianie w module kryptograficznym CMA_0021 — uwierzytelnianie w module kryptograficznym Ręczne, wyłączone 1.1.0
Wymuszanie unikatowości użytkownika CMA_0250 — wymuszanie unikatowości użytkownika Ręczne, wyłączone 1.1.0
Aplikacje funkcji powinny mieć włączone uwierzytelnianie aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji funkcji lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji funkcji. AuditIfNotExists, Disabled 3.0.0
Obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne CMA_0507 — obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne Ręczne, wyłączone 1.1.0

Upewnij się, że wartość "Wersja HTTP" jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.10 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. AuditIfNotExists, Disabled 4.0.0
Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. AuditIfNotExists, Disabled 4.0.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Upewnij się, że aplikacja internetowa przekierowuje cały ruch HTTP do protokołu HTTPS w usłudze aplikacja systemu Azure

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.2 Ownership: Shared (Rekomendacja dotycząca testu porównawczego CIS Microsoft Azure Foundations 9.2 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. Inspekcja, Wyłączone, Odmowa 4.0.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona haseł za pomocą szyfrowania CMA_0408 — ochrona haseł za pomocą szyfrowania Ręczne, wyłączone 1.1.0

Upewnij się, że aplikacja internetowa korzysta z najnowszej wersji szyfrowania TLS

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. AuditIfNotExists, Disabled 2.1.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych Ręczne, wyłączone 1.1.0
Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. AuditIfNotExists, Disabled 2.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona haseł za pomocą szyfrowania CMA_0408 — ochrona haseł za pomocą szyfrowania Ręczne, wyłączone 1.1.0

Upewnij się, że aplikacja internetowa ma ustawioną wartość "Certyfikaty klienta (przychodzące certyfikaty klienta)" na wartość "Włączone"

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Przestarzałe]: Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)" Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowymi certyfikatami będą mogli uzyskać dostęp do aplikacji. Te zasady zostały zastąpione przez nowe zasady o tej samej nazwie, ponieważ protokół Http 2.0 nie obsługuje certyfikatów klienta. Inspekcja, wyłączone 3.1.0 — przestarzałe
Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. AuditIfNotExists, Disabled 1.0.0
Uwierzytelnianie w module kryptograficznym CMA_0021 — uwierzytelnianie w module kryptograficznym Ręczne, wyłączone 1.1.0

Upewnij się, że opcja Rejestrowanie w usłudze Azure Active Directory jest włączona w usłudze App Service

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Aplikacje usługi App Service powinny używać tożsamości zarządzanej Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania AuditIfNotExists, Disabled 3.0.0
Automatyzowanie zarządzania kontami CMA_0026 — automatyzowanie zarządzania kontami Ręczne, wyłączone 1.1.0
Aplikacje funkcji powinny używać tożsamości zarządzanej Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania AuditIfNotExists, Disabled 3.0.0
Zarządzanie kontami systemowymi i administracyjnymi CMA_0368 — zarządzanie kontami systemu i administratorów Ręczne, wyłączone 1.1.0
Monitorowanie dostępu w całej organizacji CMA_0376 — monitorowanie dostępu w całej organizacji Ręczne, wyłączone 1.1.0
Powiadamianie, gdy konto nie jest potrzebne CMA_0383 — powiadom, gdy konto nie jest potrzebne Ręczne, wyłączone 1.1.0

Upewnij się, że wersja ".Net Framework" jest najnowsza, jeśli jest używana jako część aplikacji internetowej

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.6 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 9.6 : własność udostępniona)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Upewnij się, że wersja języka PHP jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej

IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.7 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.7 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Upewnij się, że wersja języka Python jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej

Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.8 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.8 Ownership: Shared)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Upewnij się, że wersja języka Java jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej

ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.9 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.9: współdzielona)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Następne kroki

Dodatkowe artykuły dotyczące usługi Azure Policy: