Udostępnij za pośrednictwem


Szczegóły wbudowanej inicjatywy FedRAMP Moderate Regulatory Compliance

Poniższy artykuł zawiera szczegółowe informacje na temat sposobu mapowania wbudowanej definicji inicjatywy zgodności usługi Azure Policy na domeny zgodności i mechanizmy kontroli w standardzie FedRAMP Moderate. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz FedRAMP Moderate. Aby zrozumieć własność, zapoznaj się z typem zasad i wspólną odpowiedzialnością w chmurze.

Poniższe mapowania dotyczą kontrolek FedRAMP Moderate . Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy FedRAMP Moderate Regulatory Compliance.

Ważne

Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.

Kontrola dostępu

Zasady i procedury kontroli dostępu

IDENTYFIKATOR: FedRAMP Moderate AC-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Opracowywanie zasad i procedur kontroli dostępu CMA_0144 — opracowywanie zasad i procedur kontroli dostępu Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Zarządzanie zasadami i procedurami CMA_0292 — zarządzanie zasadami i procedurami Ręczne, wyłączone 1.1.0
Przegląd zasad i procedur kontroli dostępu CMA_0457 — przegląd zasad i procedur kontroli dostępu Ręczne, wyłączone 1.1.0

Zarządzanie kontem

IDENTYFIKATOR: FedRAMP Moderate AC-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. AuditIfNotExists, Disabled 3.0.0
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft AuditIfNotExists, Disabled 1.0.0
Aplikacje usługi App Service powinny używać tożsamości zarządzanej Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania AuditIfNotExists, Disabled 3.0.0
Przypisywanie menedżerów kont CMA_0015 — przypisywanie menedżerów kont Ręczne, wyłączone 1.1.0
Inspekcja użycia niestandardowych ról RBAC Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń Inspekcja, wyłączone 1.0.1
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth Inspekcja, Odmowa, Wyłączone 1.1.0
Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. AuditIfNotExists, Disabled 1.0.0
Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. AuditIfNotExists, Disabled 1.0.0
Definiowanie i wymuszanie warunków dla kont udostępnionych i grupowych CMA_0117 — definiowanie i wymuszanie warunków dla kont udostępnionych i grupowych Ręczne, wyłączone 1.1.0
Definiowanie typów kont systemu informacyjnego CMA_0121 — definiowanie typów kont systemu informacyjnego Ręczne, wyłączone 1.1.0
Uprawnienia dostępu do dokumentów CMA_0186 — uprawnienia dostępu do dokumentu Ręczne, wyłączone 1.1.0
Ustanawianie warunków członkostwa w rolach CMA_0269 — ustanawianie warunków członkostwa w rolach Ręczne, wyłączone 1.1.0
Aplikacje funkcji powinny używać tożsamości zarządzanej Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania AuditIfNotExists, Disabled 3.0.0
Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. AuditIfNotExists, Disabled 1.0.0
Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. AuditIfNotExists, Disabled 1.0.0
Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. AuditIfNotExists, Disabled 1.0.0
Monitorowanie aktywności konta CMA_0377 — monitorowanie aktywności konta Ręczne, wyłączone 1.1.0
Powiadamianie menedżerów kont o kontach kontrolowanych przez klienta CMA_C1009 — powiadamianie menedżerów kont o kontach kontrolowanych przez klienta Ręczne, wyłączone 1.1.0
Ponowne uwierzytelnianie dla zmienionych grup i kont CMA_0426 — ponowne uwierzytelnianie dla zmienionych grup i kont Ręczne, wyłączone 1.1.0
Wymagaj zatwierdzenia do utworzenia konta CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta Ręczne, wyłączone 1.1.0
Ograniczanie dostępu do uprzywilejowanych kont CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych Ręczne, wyłączone 1.1.0
Przeglądanie dzienników aprowizacji kont CMA_0460 — przeglądanie dzienników aprowizacji kont Ręczne, wyłączone 1.1.0
Przeglądanie kont użytkowników CMA_0480 — przeglądanie kont użytkowników Ręczne, wyłączone 1.1.0
Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric Inspekcja, Odmowa, Wyłączone 1.1.0

Automatyczne zarządzanie kontami systemu

IDENTYFIKATOR: FedRAMP Moderate AC-2 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft AuditIfNotExists, Disabled 1.0.0
Automatyzowanie zarządzania kontami CMA_0026 — automatyzowanie zarządzania kontami Ręczne, wyłączone 1.1.0
Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth Inspekcja, Odmowa, Wyłączone 1.1.0
Zarządzanie kontami systemowymi i administracyjnymi CMA_0368 — zarządzanie kontami systemu i administratorów Ręczne, wyłączone 1.1.0
Monitorowanie dostępu w całej organizacji CMA_0376 — monitorowanie dostępu w całej organizacji Ręczne, wyłączone 1.1.0
Powiadamianie, gdy konto nie jest potrzebne CMA_0383 — powiadom, gdy konto nie jest potrzebne Ręczne, wyłączone 1.1.0
Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric Inspekcja, Odmowa, Wyłączone 1.1.0

Wyłączanie nieaktywnych kont

IDENTYFIKATOR: FedRAMP Moderate AC-2 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wyłączanie wystawców uwierzytelnień po zakończeniu CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu Ręczne, wyłączone 1.1.0
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami Ręczne, wyłączone 1.1.0

Zautomatyzowane akcje inspekcji

IDENTYFIKATOR: FedRAMP Moderate AC-2 (4) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Automatyzowanie zarządzania kontami CMA_0026 — automatyzowanie zarządzania kontami Ręczne, wyłączone 1.1.0
Zarządzanie kontami systemowymi i administracyjnymi CMA_0368 — zarządzanie kontami systemu i administratorów Ręczne, wyłączone 1.1.0
Monitorowanie dostępu w całej organizacji CMA_0376 — monitorowanie dostępu w całej organizacji Ręczne, wyłączone 1.1.0
Powiadamianie, gdy konto nie jest potrzebne CMA_0383 — powiadom, gdy konto nie jest potrzebne Ręczne, wyłączone 1.1.0

Wylogowywanie braku aktywności

IDENTYFIKATOR: FedRAMP Moderate AC-2 (5) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie i wymuszanie zasad dziennika braku aktywności CMA_C1017 — definiowanie i wymuszanie zasad dziennika braku aktywności Ręczne, wyłączone 1.1.0

Schematy oparte na rolach

IDENTYFIKATOR: FedRAMP Moderate AC-2 (7) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft AuditIfNotExists, Disabled 1.0.0
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja użycia niestandardowych ról RBAC Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń Inspekcja, wyłączone 1.0.1
Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth Inspekcja, Odmowa, Wyłączone 1.1.0
Monitorowanie aktywności konta CMA_0377 — monitorowanie aktywności konta Ręczne, wyłączone 1.1.0
Monitorowanie przypisywania ról uprzywilejowanych CMA_0378 — monitorowanie przypisywania ról uprzywilejowanych Ręczne, wyłączone 1.1.0
Ograniczanie dostępu do uprzywilejowanych kont CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych Ręczne, wyłączone 1.1.0
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami Ręczne, wyłączone 1.1.0
Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric Inspekcja, Odmowa, Wyłączone 1.1.0
Korzystanie z usługi Privileged Identity Management CMA_0533 — używanie usługi Privileged Identity Management Ręczne, wyłączone 1.1.0

Ograniczenia dotyczące korzystania z udostępnionych grup/kont

Identyfikator: FedRAMP Moderate AC-2 (9) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie i wymuszanie warunków dla kont udostępnionych i grupowych CMA_0117 — definiowanie i wymuszanie warunków dla kont udostępnionych i grupowych Ręczne, wyłączone 1.1.0

Zakończenie poświadczeń konta udostępnionego/grupy

IDENTYFIKATOR: FedRAMP Moderate AC-2 (10) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kończenie poświadczeń konta kontrolowanego przez klienta CMA_C1022 — kończenie poświadczeń konta kontrolowanego przez klienta Ręczne, wyłączone 1.1.0

Monitorowanie konta/nietypowe użycie

Identyfikator: FedRAMP Moderate AC-2 (12) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled Wersja zapoznawcza 6.0.0
Usługa Azure Defender for App Service powinna być włączona Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. AuditIfNotExists, Disabled 1.0.3
Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender dla usługi Key Vault powinna być włączona Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. AuditIfNotExists, Disabled 1.0.3
Usługa Azure Defender dla usługi Resource Manager powinna być włączona Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Usługa Azure Defender dla serwerów powinna być włączona Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. AuditIfNotExists, Disabled 1.0.3
Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2
Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami AuditIfNotExists, Disabled 3.0.0
Należy włączyć usługę Microsoft Defender for Containers Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. AuditIfNotExists, Disabled 1.0.0
Usługa Microsoft Defender for Storage powinna być włączona Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. AuditIfNotExists, Disabled 1.0.0
Monitorowanie aktywności konta CMA_0377 — monitorowanie aktywności konta Ręczne, wyłączone 1.1.0
Zgłaszanie nietypowego zachowania kont użytkowników CMA_C1025 — zgłaszanie nietypowego zachowania kont użytkowników Ręczne, wyłączone 1.1.0

Wymuszanie dostępu

IDENTYFIKATOR: FedRAMP Moderate AC-3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. Modyfikowanie 4.1.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. Modyfikowanie 4.1.0
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft AuditIfNotExists, Disabled 1.0.0
Aplikacje usługi App Service powinny używać tożsamości zarządzanej Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania AuditIfNotExists, Disabled 3.0.0
Inspekcja maszyn z systemem Linux z kontami bez haseł Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które mają konta bez haseł AuditIfNotExists, Disabled 3.1.0
Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH Mimo że sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth Inspekcja, Odmowa, Wyłączone 1.1.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. deployIfNotExists 3.1.0
Wymuszanie dostępu logicznego CMA_0245 — wymuszanie dostępu logicznego Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0
Aplikacje funkcji powinny używać tożsamości zarządzanej Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania AuditIfNotExists, Disabled 3.0.0
Wymagaj zatwierdzenia do utworzenia konta CMA_0431 — wymaganie zatwierdzenia na potrzeby tworzenia konta Ręczne, wyłączone 1.1.0
Przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych CMA_0481 — przeglądanie grup użytkowników i aplikacji z dostępem do poufnych danych Ręczne, wyłączone 1.1.0
Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric Inspekcja, Odmowa, Wyłączone 1.1.0
Konta magazynu należy migrować do nowych zasobów usługi Azure Resource Manager Użyj nowego usługi Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami Inspekcja, Odmowa, Wyłączone 1.0.0
Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager Użyj nowego usługi Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami Inspekcja, Odmowa, Wyłączone 1.0.0

Wymuszanie przepływu informacji

IDENTYFIKATOR: FedRAMP Moderate AC-4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Przestarzałe]: Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Inspekcja, wyłączone 1.0.1 — przestarzałe
[Przestarzałe]: Usługi Cognitive Services powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. Inspekcja, wyłączone 3.0.1 — przestarzałe
[Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji AuditIfNotExists, Disabled 3.0.0-preview
[Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 3.1.0-preview
Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. AuditIfNotExists, Disabled 3.0.0
Usługi API Management powinny używać sieci wirtualnej Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby był dostępny z Internetu lub tylko w sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 1.0.2
Usługa App Configuration powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. AuditIfNotExists, Disabled 2.0.0
Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. Inspekcja, wyłączone 2.0.1
Zasoby usług Azure AI Services powinny ograniczać dostęp do sieci Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. Inspekcja, Odmowa, Wyłączone 3.2.0
Interfejs API platformy Azure dla standardu FHIR powinien używać łącza prywatnego Interfejs API platformy Azure dla standardu FHIR powinien mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. Aby uzyskać więcej informacji, odwiedź stronę: https://aka.ms/fhir-privatelink. Inspekcja, wyłączone 1.0.0
Usługa Azure Cache for Redis powinna używać łącza prywatnego Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Inspekcja, Odmowa, Wyłączone 1.0.0
Usługa Azure Cognitive usługa wyszukiwania powinna wyłączyć dostęp do sieci publicznej Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cognitive usługa wyszukiwania nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługa wyszukiwania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Inspekcja, Odmowa, Wyłączone 1.0.0
Konta usługi Azure Cosmos DB powinny mieć reguły zapory Reguły zapory powinny być zdefiniowane na kontach usługi Azure Cosmos DB, aby uniemożliwić ruch z nieautoryzowanych źródeł. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne. Inspekcja, Odmowa, Wyłączone 2.1.0
Usługa Azure Data Factory powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Domeny usługi Azure Event Grid powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. Inspekcja, wyłączone 1.0.2
Tematy usługi Azure Event Grid powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. Inspekcja, wyłączone 1.0.2
Usługa Azure File Sync powinna używać łącza prywatnego Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. AuditIfNotExists, Disabled 1.0.0
Usługa Azure Key Vault powinna mieć włączoną zaporę Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security Inspekcja, Odmowa, Wyłączone 3.2.1
Usługa Azure Key Vault powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Obszary robocze usługi Azure Machine Learning powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszarów roboczych usługi Azure Machine Learning, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Inspekcja, wyłączone 1.0.0
Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Usługa Azure SignalR Service powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. Inspekcja, wyłączone 1.0.0
Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Inspekcja, wyłączone 1.0.1
Usługa Azure Web PubSub powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. Inspekcja, wyłączone 1.0.0
Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci Rejestry kontenerów platformy Azure domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych prywatnych punktów końcowych, publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma skonfigurowanych reguł sieciowych, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry tutaj: https://aka.ms/acr/privatelinki https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Inspekcja, Odmowa, Wyłączone 2.0.0
Rejestry kontenerów powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. Inspekcja, wyłączone 1.0.1
Przepływ informacji sterujących CMA_0079 — przepływ informacji sterujących Ręczne, wyłączone 1.1.0
Konta usługi CosmosDB powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Inspekcja, wyłączone 1.0.0
Zasoby dostępu do dysku powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji CMA_0211 — stosowanie mechanizmów sterowania przepływem zaszyfrowanych informacji Ręczne, wyłączone 1.1.0
Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. Inspekcja, wyłączone 1.0.0
Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. AuditIfNotExists, Disabled 3.0.0
Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami AuditIfNotExists, Disabled 3.0.0
Porty zarządzania powinny być zamknięte na maszynach wirtualnych Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. AuditIfNotExists, Disabled 3.0.0
Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. Inspekcja, wyłączone 1.1.0
Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Prywatny punkt końcowy powinien być włączony dla serwerów MySQL Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 1.1.0
Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MariaDB można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 2.0.0
Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MySQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 2.0.0
Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for PostgreSQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp z dowolnej publicznej przestrzeni adresowej poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 2.0.1
Konta magazynu powinny ograniczać dostęp sieciowy Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych Inspekcja, Odmowa, Wyłączone 1.1.1
Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. Inspekcja, Odmowa, Wyłączone 1.0.1
Konta magazynu powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. AuditIfNotExists, Disabled 3.0.0
Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Inspekcja, Wyłączone, Odmowa 1.1.0

Fizyczne/logiczne rozdzielenie przepływów informacji

ID: FedRAMP Moderate AC-4 (21) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przepływ informacji sterujących CMA_0079 — przepływ informacji sterujących Ręczne, wyłączone 1.1.0
Ustanawianie standardów konfiguracji zapory i routera CMA_0272 — ustanawianie standardów konfiguracji zapory i routera Ręczne, wyłączone 1.1.0
Ustanawianie segmentacji sieci dla środowiska danych posiadacza karty CMA_0273 — ustanawianie segmentacji sieci dla środowiska danych posiadacza kart Ręczne, wyłączone 1.1.0
Identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi CMA_0298 — identyfikowanie wymiany informacji podrzędnych i zarządzanie nimi Ręczne, wyłączone 1.1.0

Rozdzielenie obowiązków

Identyfikator: FedRAMP Moderate AC-5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie autoryzacji dostępu w celu obsługi rozdzielenia obowiązków CMA_0116 — definiowanie autoryzacji dostępu w celu obsługi rozdzielenia obowiązków Ręczne, wyłączone 1.1.0
Dokument rozdzielania obowiązków CMA_0204 — dokument rozdzielania obowiązków Ręczne, wyłączone 1.1.0
Oddzielne obowiązki osób fizycznych CMA_0492 - Oddzielne obowiązki osób fizycznych Ręczne, wyłączone 1.1.0
Do subskrypcji powinien być przypisany więcej niż jeden właściciel Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. AuditIfNotExists, Disabled 3.0.0

Najmniej uprzywilejowane

IDENTYFIKATOR: FedRAMP Moderate AC-6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. AuditIfNotExists, Disabled 3.0.0
Inspekcja użycia niestandardowych ról RBAC Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń Inspekcja, wyłączone 1.0.1
Projektowanie modelu kontroli dostępu CMA_0129 — projektowanie modelu kontroli dostępu Ręczne, wyłączone 1.1.0
Stosowanie dostępu z najniższymi uprawnieniami CMA_0212 — stosowanie dostępu do najniższych uprawnień Ręczne, wyłączone 1.1.0

Autoryzowanie dostępu do funkcji zabezpieczeń

Identyfikator: FedRAMP Moderate AC-6 (1) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu do funkcji zabezpieczeń i informacji CMA_0022 — autoryzowanie dostępu do funkcji zabezpieczeń i informacji Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu i zarządzanie nim CMA_0023 — autoryzowanie dostępu i zarządzanie nim Ręczne, wyłączone 1.1.0
Wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu CMA_0246 — wymuszanie obowiązkowych i uznaniowych zasad kontroli dostępu Ręczne, wyłączone 1.1.0

Uprzywilejowane konta

IDENTYFIKATOR: FedRAMP Moderate AC-6 (5) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ograniczanie dostępu do uprzywilejowanych kont CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych Ręczne, wyłączone 1.1.0

Inspekcja użycia funkcji uprzywilejowanych

IDENTYFIKATOR: FedRAMP Moderate AC-6 (9) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Przeprowadzanie pełnej analizy tekstu zarejestrowanych poleceń uprzywilejowanych CMA_0056 — przeprowadzanie pełnej analizy tekstu zarejestrowanych poleceń uprzywilejowanych Ręczne, wyłączone 1.1.0
Monitorowanie przypisywania ról uprzywilejowanych CMA_0378 — monitorowanie przypisywania ról uprzywilejowanych Ręczne, wyłączone 1.1.0
Ograniczanie dostępu do uprzywilejowanych kont CMA_0446 — ograniczanie dostępu do kont uprzywilejowanych Ręczne, wyłączone 1.1.0
Odwoływanie ról uprzywilejowanych zgodnie z potrzebami CMA_0483 — odwoływanie ról uprzywilejowanych zgodnie z potrzebami Ręczne, wyłączone 1.1.0
Korzystanie z usługi Privileged Identity Management CMA_0533 — używanie usługi Privileged Identity Management Ręczne, wyłączone 1.1.0

Nieudane próby logowania

IDENTYFIKATOR: FedRAMP Moderate AC-7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wymuszanie limitu kolejnych nieudanych prób logowania CMA_C1044 — wymuszanie limitu kolejnych nieudanych prób logowania Ręczne, wyłączone 1.1.0

Współbieżna kontrola sesji

IDENTYFIKATOR: FedRAMP Moderate AC-10 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie i wymuszanie limitu sesji współbieżnych CMA_C1050 — definiowanie i wymuszanie limitu współbieżnych sesji Ręczne, wyłączone 1.1.0

Zakończenie sesji

Identyfikator: FedRAMP Moderate AC-12 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Automatyczne kończenie sesji użytkownika CMA_C1054 — automatyczne kończenie sesji użytkownika Ręczne, wyłączone 1.1.0

Dozwolone akcje bez identyfikacji lub uwierzytelniania

IDENTYFIKATOR: FedRAMP Moderate AC-14 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Identyfikowanie akcji dozwolonych bez uwierzytelniania CMA_0295 — identyfikowanie akcji dozwolonych bez uwierzytelniania Ręczne, wyłączone 1.1.0

Dostęp zdalny

IDENTYFIKATOR: FedRAMP Moderate AC-17 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Przestarzałe]: Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Inspekcja, wyłączone 1.0.1 — przestarzałe
[Przestarzałe]: Usługi Cognitive Services powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. Inspekcja, wyłączone 3.0.1 — przestarzałe
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. Modyfikowanie 4.1.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. Modyfikowanie 4.1.0
Usługa App Configuration powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. AuditIfNotExists, Disabled 2.0.0
Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł AuditIfNotExists, Disabled 3.1.0
Autoryzowanie dostępu zdalnego CMA_0024 — autoryzowanie dostępu zdalnego Ręczne, wyłączone 1.1.0
Interfejs API platformy Azure dla standardu FHIR powinien używać łącza prywatnego Interfejs API platformy Azure dla standardu FHIR powinien mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. Aby uzyskać więcej informacji, odwiedź stronę: https://aka.ms/fhir-privatelink. Inspekcja, wyłączone 1.0.0
Usługa Azure Cache for Redis powinna używać łącza prywatnego Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Inspekcja, Odmowa, Wyłączone 1.0.0
Usługa Azure Data Factory powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Domeny usługi Azure Event Grid powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. Inspekcja, wyłączone 1.0.2
Tematy usługi Azure Event Grid powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. Inspekcja, wyłączone 1.0.2
Usługa Azure File Sync powinna używać łącza prywatnego Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. AuditIfNotExists, Disabled 1.0.0
Usługa Azure Key Vault powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Obszary robocze usługi Azure Machine Learning powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszarów roboczych usługi Azure Machine Learning, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Inspekcja, wyłączone 1.0.0
Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Usługa Azure SignalR Service powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. Inspekcja, wyłączone 1.0.0
Usługa Azure Spring Cloud powinna używać iniekcji sieci Wystąpienia usługi Azure Spring Cloud powinny używać iniekcji sieci wirtualnej do następujących celów: 1. Izolowanie usługi Azure Spring Cloud z Internetu. 2. Umożliwianie usłudze Azure Spring Cloud interakcji z systemami w lokalnych centrach danych lub usłudze platformy Azure w innych sieciach wirtualnych. 3. Umożliwienie klientom kontrolowania przychodzącej i wychodzącej komunikacji sieciowej dla usługi Azure Spring Cloud. Inspekcja, Wyłączone, Odmowa 1.2.0
Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Inspekcja, wyłączone 1.0.1
Usługa Azure Web PubSub powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. Inspekcja, wyłączone 1.0.0
Rejestry kontenerów powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. Inspekcja, wyłączone 1.0.1
Konta usługi CosmosDB powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Inspekcja, wyłączone 1.0.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. deployIfNotExists 3.1.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. deployIfNotExists 1.2.0
Zasoby dostępu do dysku powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Szkolenie mobilności dokumentów CMA_0191 — szkolenie mobilności dokumentów Ręczne, wyłączone 1.1.0
Dokumentowanie wytycznych dotyczących dostępu zdalnego CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego Ręczne, wyłączone 1.1.0
Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. AuditIfNotExists, Disabled 2.0.0
Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych Ręczne, wyłączone 1.1.0
Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. Inspekcja, wyłączone 1.0.0
Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. Inspekcja, wyłączone 1.1.0
Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Prywatny punkt końcowy powinien być włączony dla serwerów MySQL Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Zapewnianie szkolenia w zakresie prywatności CMA_0415 — zapewnianie szkolenia w zakresie prywatności Ręczne, wyłączone 1.1.0
Konta magazynu powinny ograniczać dostęp sieciowy Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych Inspekcja, Odmowa, Wyłączone 1.1.1
Konta magazynu powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Inspekcja, Wyłączone, Odmowa 1.1.0

Automatyczne monitorowanie/sterowanie

IDENTYFIKATOR: FedRAMP Moderate AC-17 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Przestarzałe]: Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Inspekcja, wyłączone 1.0.1 — przestarzałe
[Przestarzałe]: Usługi Cognitive Services powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. Inspekcja, wyłączone 3.0.1 — przestarzałe
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. Modyfikowanie 4.1.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. Modyfikowanie 4.1.0
Usługa App Configuration powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. AuditIfNotExists, Disabled 2.0.0
Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł AuditIfNotExists, Disabled 3.1.0
Interfejs API platformy Azure dla standardu FHIR powinien używać łącza prywatnego Interfejs API platformy Azure dla standardu FHIR powinien mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. Aby uzyskać więcej informacji, odwiedź stronę: https://aka.ms/fhir-privatelink. Inspekcja, wyłączone 1.0.0
Usługa Azure Cache for Redis powinna używać łącza prywatnego Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Inspekcja, Odmowa, Wyłączone 1.0.0
Usługa Azure Data Factory powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Domeny usługi Azure Event Grid powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. Inspekcja, wyłączone 1.0.2
Tematy usługi Azure Event Grid powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. Inspekcja, wyłączone 1.0.2
Usługa Azure File Sync powinna używać łącza prywatnego Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. AuditIfNotExists, Disabled 1.0.0
Usługa Azure Key Vault powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Obszary robocze usługi Azure Machine Learning powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszarów roboczych usługi Azure Machine Learning, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Inspekcja, wyłączone 1.0.0
Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Usługa Azure SignalR Service powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. Inspekcja, wyłączone 1.0.0
Usługa Azure Spring Cloud powinna używać iniekcji sieci Wystąpienia usługi Azure Spring Cloud powinny używać iniekcji sieci wirtualnej do następujących celów: 1. Izolowanie usługi Azure Spring Cloud z Internetu. 2. Umożliwianie usłudze Azure Spring Cloud interakcji z systemami w lokalnych centrach danych lub usłudze platformy Azure w innych sieciach wirtualnych. 3. Umożliwienie klientom kontrolowania przychodzącej i wychodzącej komunikacji sieciowej dla usługi Azure Spring Cloud. Inspekcja, Wyłączone, Odmowa 1.2.0
Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Inspekcja, wyłączone 1.0.1
Usługa Azure Web PubSub powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. Inspekcja, wyłączone 1.0.0
Rejestry kontenerów powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. Inspekcja, wyłączone 1.0.1
Konta usługi CosmosDB powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Inspekcja, wyłączone 1.0.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. deployIfNotExists 3.1.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. deployIfNotExists 1.2.0
Zasoby dostępu do dysku powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. AuditIfNotExists, Disabled 2.0.0
Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. Inspekcja, wyłączone 1.0.0
Monitorowanie dostępu w całej organizacji CMA_0376 — monitorowanie dostępu w całej organizacji Ręczne, wyłączone 1.1.0
Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. Inspekcja, wyłączone 1.1.0
Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Prywatny punkt końcowy powinien być włączony dla serwerów MySQL Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Konta magazynu powinny ograniczać dostęp sieciowy Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych Inspekcja, Odmowa, Wyłączone 1.1.1
Konta magazynu powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Inspekcja, Wyłączone, Odmowa 1.1.0

Ochrona poufności/integralności przy użyciu szyfrowania

IDENTYFIKATOR: FedRAMP Moderate AC-17 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Powiadamianie użytkowników o logowaniu lub dostępie systemu CMA_0382 — powiadamianie użytkowników o logowaniu lub dostępie systemu Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0

Zarządzane punkty kontroli dostępu

IDENTYFIKATOR: FedRAMP Moderate AC-17 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kierowanie ruchu za pośrednictwem zarządzanych punktów dostępu do sieci CMA_0484 — kierowanie ruchu przez zarządzane punkty dostępu do sieci Ręczne, wyłączone 1.1.0

Polecenia uprzywilejowane /dostęp

IDENTYFIKATOR: FedRAMP Moderate AC-17 (4) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu zdalnego CMA_0024 — autoryzowanie dostępu zdalnego Ręczne, wyłączone 1.1.0
Autoryzowanie dostępu zdalnego do poleceń uprzywilejowanych CMA_C1064 — autoryzowanie dostępu zdalnego do poleceń uprzywilejowanych Ręczne, wyłączone 1.1.0
Dokumentowanie wytycznych dotyczących dostępu zdalnego CMA_0196 — dokumentowanie wytycznych dotyczących dostępu zdalnego Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych Ręczne, wyłączone 1.1.0
Zapewnianie szkolenia w zakresie prywatności CMA_0415 — zapewnianie szkolenia w zakresie prywatności Ręczne, wyłączone 1.1.0

Rozłączanie/wyłączanie dostępu

IDENTYFIKATOR: FedRAMP Moderate AC-17 (9) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zapewnianie możliwości odłączenia lub wyłączenia dostępu zdalnego CMA_C1066 — umożliwia rozłączanie lub wyłączanie dostępu zdalnego Ręczne, wyłączone 1.1.0

Dostęp bezprzewodowy

Identyfikator: FedRAMP Moderate AC-18 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego CMA_0190 — dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego Ręczne, wyłączone 1.1.0
Ochrona dostępu bezprzewodowego CMA_0411 — ochrona dostępu bezprzewodowego Ręczne, wyłączone 1.1.0

Uwierzytelnianie i szyfrowanie

IDENTYFIKATOR: FedRAMP Moderate AC-18 (1) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego CMA_0190 — dokumentowanie i implementowanie wytycznych dotyczących dostępu bezprzewodowego Ręczne, wyłączone 1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych Ręczne, wyłączone 1.1.0
Ochrona dostępu bezprzewodowego CMA_0411 — ochrona dostępu bezprzewodowego Ręczne, wyłączone 1.1.0

Kontrola dostępu dla urządzeń przenośnych

IDENTYFIKATOR: FedRAMP Moderate AC-19 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie wymagań dotyczących urządzeń przenośnych CMA_0122 — definiowanie wymagań dotyczących urządzeń przenośnych Ręczne, wyłączone 1.1.0

Pełne szyfrowanie urządzenia/oparte na kontenerze

IDENTYFIKATOR: FedRAMP Moderate AC-19 (5) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie wymagań dotyczących urządzeń przenośnych CMA_0122 — definiowanie wymagań dotyczących urządzeń przenośnych Ręczne, wyłączone 1.1.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0

Korzystanie z zewnętrznych systemów informacyjnych

IDENTYFIKATOR: FedRAMP Moderate AC-20 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie warunków i postanowień dotyczących uzyskiwania dostępu do zasobów CMA_C1076 — ustanawianie warunków i postanowień dotyczących uzyskiwania dostępu do zasobów Ręczne, wyłączone 1.1.0
Ustanawianie warunków i postanowień dotyczących przetwarzania zasobów CMA_C1077 — ustanawianie warunków i postanowień dotyczących przetwarzania zasobów Ręczne, wyłączone 1.1.0

Limity dotyczące autoryzowanego użycia

IDENTYFIKATOR: FedRAMP Moderate AC-20 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Weryfikowanie mechanizmów kontroli zabezpieczeń dla zewnętrznych systemów informacyjnych CMA_0541 — weryfikowanie mechanizmów kontroli zabezpieczeń dla zewnętrznych systemów informacyjnych Ręczne, wyłączone 1.1.0

Przenośne urządzenia magazynujące

IDENTYFIKATOR: FedRAMP Moderate AC-20 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Kontrolowanie użycia przenośnych urządzeń magazynujących CMA_0083 — kontrolowanie użycia przenośnych urządzeń magazynujących Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0

Udostępnianie informacji

Identyfikator: FedRAMP Moderate AC-21 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Automatyzowanie decyzji dotyczących udostępniania informacji CMA_0028 — automatyzowanie decyzji dotyczących udostępniania informacji Ręczne, wyłączone 1.1.0
Ułatwianie udostępniania informacji CMA_0284 — ułatwia udostępnianie informacji Ręczne, wyłączone 1.1.0

Publicznie dostępna zawartość

IDENTYFIKATOR: FedRAMP Moderate AC-22 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wyznaczenie upoważnionego personelu do publikowania publicznie dostępnych informacji CMA_C1083 — wyznaczanie autoryzowanego personelu do publikowania publicznie dostępnych informacji Ręczne, wyłączone 1.1.0
Przeglądanie zawartości przed opublikowaniem publicznie dostępnych informacji CMA_C1085 — przeglądanie zawartości przed opublikowaniem publicznie dostępnych informacji Ręczne, wyłączone 1.1.0
Przeglądanie publicznie dostępnej zawartości pod kątem informacji niepublikacyjnych CMA_C1086 — przeglądanie publicznie dostępnej zawartości pod kątem informacji niepublikacyjnych Ręczne, wyłączone 1.1.0
Szkolenie personelu w sprawie ujawnienia informacji niepublicowych CMA_C1084 — szkolenie personelu w zakresie ujawniania informacji niepublicowych Ręczne, wyłączone 1.1.0

Świadomość i szkolenie

Zasady i procedury dotyczące świadomości bezpieczeństwa i szkolenia

IDENTYFIKATOR: FedRAMP Moderate AT-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności Ręczne, wyłączone 1.1.0
Aktualizowanie zasad zabezpieczeń informacji CMA_0518 — aktualizowanie zasad zabezpieczeń informacji Ręczne, wyłączone 1.1.0

Szkolenie dotyczące świadomości zabezpieczeń

IDENTYFIKATOR: FedRAMP Moderate AT-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zapewnianie okresowego szkolenia w zakresie świadomości zabezpieczeń CMA_C1091 — zapewnianie okresowego szkolenia w zakresie świadomości zabezpieczeń Ręczne, wyłączone 1.1.0
Zapewnianie szkoleń dotyczących zabezpieczeń dla nowych użytkowników CMA_0419 — zapewnianie szkoleń dotyczących zabezpieczeń dla nowych użytkowników Ręczne, wyłączone 1.1.0
Zapewnianie zaktualizowanego szkolenia w zakresie świadomości zabezpieczeń CMA_C1090 — zapewnianie zaktualizowanych szkoleń dotyczących świadomości zabezpieczeń Ręczne, wyłączone 1.1.0

Zagrożenie dla niejawnych testerów

IDENTYFIKATOR: FedRAMP Moderate AT-2 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zapewnianie szkoleń dotyczących świadomości zabezpieczeń pod kątem zagrożeń poufnych CMA_0417 — zapewnianie szkoleń dotyczących świadomości zabezpieczeń pod kątem zagrożeń poufnych Ręczne, wyłączone 1.1.0

Trenowanie zabezpieczeń oparte na rolach

IDENTYFIKATOR: FedRAMP Moderate AT-3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zapewnianie okresowego trenowania zabezpieczeń opartego na rolach CMA_C1095 — zapewnianie okresowego trenowania zabezpieczeń opartego na rolach Ręczne, wyłączone 1.1.0
Zapewnianie trenowania zabezpieczeń opartego na rolach CMA_C1094 — zapewnianie trenowania zabezpieczeń opartego na rolach Ręczne, wyłączone 1.1.0
Zapewnienie szkolenia w zakresie zabezpieczeń przed zapewnieniem dostępu CMA_0418 — zapewnienie szkolenia w zakresie zabezpieczeń przed zapewnieniem dostępu Ręczne, wyłączone 1.1.0

Rekordy trenowania zabezpieczeń

IDENTYFIKATOR: FedRAMP Moderate AT-4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności CMA_0198 — dokumentowanie działań szkoleniowych dotyczących zabezpieczeń i prywatności Ręczne, wyłączone 1.1.0
Monitorowanie ukończenia trenowania zabezpieczeń i prywatności CMA_0379 — monitorowanie ukończenia trenowania zabezpieczeń i prywatności Ręczne, wyłączone 1.1.0
Zachowywanie rekordów treningowych CMA_0456 — zachowywanie rekordów treningowych Ręczne, wyłączone 1.1.0

Inspekcja i odpowiedzialność

Zasady i procedury inspekcji i odpowiedzialności

Identyfikator: FedRAMP Moderate AU-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności CMA_0154 — Opracowywanie zasad i procedur dotyczących inspekcji i odpowiedzialności Ręczne, wyłączone 1.1.0
Opracowywanie zasad i procedur zabezpieczeń informacji CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji Ręczne, wyłączone 1.1.0
Zarządzanie zasadami i procedurami CMA_0292 — zarządzanie zasadami i procedurami Ręczne, wyłączone 1.1.0
Aktualizowanie zasad zabezpieczeń informacji CMA_0518 — aktualizowanie zasad zabezpieczeń informacji Ręczne, wyłączone 1.1.0

Zdarzenia inspekcji

Identyfikator: FedRAMP Moderate AU-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0

Recenzje i aktualizacje

IDENTYFIKATOR: FedRAMP Moderate AU-2 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeglądanie i aktualizowanie zdarzeń zdefiniowanych w AU-02 CMA_C1106 — przeglądanie i aktualizowanie zdarzeń zdefiniowanych w AU-02 Ręczne, wyłączone 1.1.0

Zawartość rekordów inspekcji

Identyfikator: FedRAMP Moderate AU-3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0

Dodatkowe informacje o inspekcji

Id: FedRAMP Moderate AU-3 (1) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konfigurowanie możliwości inspekcji platformy Azure CMA_C1108 — konfigurowanie możliwości inspekcji platformy Azure Ręczne, wyłączone 1.1.1

Inspekcja pojemności magazynu

Identyfikator: FedRAMP Moderate AU-4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zarządzanie i monitorowanie działań przetwarzania inspekcji CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji Ręczne, wyłączone 1.1.0

Odpowiedź na błędy przetwarzania inspekcji

Identyfikator: FedRAMP Moderate AU-5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zarządzanie i monitorowanie działań przetwarzania inspekcji CMA_0289 — zarządzanie i monitorowanie działań przetwarzania inspekcji Ręczne, wyłączone 1.1.0

Przegląd inspekcji, analiza i raportowanie

Identyfikator: FedRAMP Moderate AU-6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled Wersja zapoznawcza 6.0.0
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. AuditIfNotExists, Disabled 1.0.2—wersja zapoznawcza
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. AuditIfNotExists, Disabled 1.0.2—wersja zapoznawcza
Usługa Azure Defender for App Service powinna być włączona Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. AuditIfNotExists, Disabled 1.0.3
Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender dla usługi Key Vault powinna być włączona Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. AuditIfNotExists, Disabled 1.0.3
Usługa Azure Defender dla usługi Resource Manager powinna być włączona Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Usługa Azure Defender dla serwerów powinna być włączona Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. AuditIfNotExists, Disabled 1.0.3
Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2
Korelowanie rekordów inspekcji CMA_0087 — korelowanie rekordów inspekcji Ręczne, wyłączone 1.1.0
Ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania CMA_0277 — ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania Ręczne, wyłączone 1.1.0
Integrowanie przeglądu inspekcji, analizy i raportowania CMA_0339 — integrowanie przeglądu inspekcji, analizy i raportowania Ręczne, wyłączone 1.1.0
Integrowanie usługi Cloud App Security z rozwiązaniem siem CMA_0340 — integrowanie usługi Cloud App Security z rozwiązaniem siem Ręczne, wyłączone 1.1.0
Należy włączyć usługę Microsoft Defender for Containers Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. AuditIfNotExists, Disabled 1.0.0
Usługa Microsoft Defender for Storage powinna być włączona Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. AuditIfNotExists, Disabled 1.0.0
Usługa Network Watcher powinna być włączona Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. AuditIfNotExists, Disabled 3.0.0
Przeglądanie dzienników aprowizacji kont CMA_0460 — przeglądanie dzienników aprowizacji kont Ręczne, wyłączone 1.1.0
Przeglądanie przypisań administratorów co tydzień CMA_0461 — cotygodniowe przeglądanie przypisań administratorów Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0
Przegląd raportu tożsamości w chmurze — omówienie CMA_0468 — przegląd raportu tożsamości w chmurze — omówienie Ręczne, wyłączone 1.1.0
Przeglądanie kontrolowanych zdarzeń dostępu do folderów CMA_0471 — przegląd zdarzeń dostępu do kontrolowanych folderów Ręczne, wyłączone 1.1.0
Przeglądanie działania plików i folderów CMA_0473 — przeglądanie działania plików i folderów Ręczne, wyłączone 1.1.0
Przeglądanie zmian w grupie ról co tydzień CMA_0476 — przegląd zmian grupy ról co tydzień Ręczne, wyłączone 1.1.0

Integracja procesów

Id: FedRAMP Moderate AU-6 (1) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Korelowanie rekordów inspekcji CMA_0087 — korelowanie rekordów inspekcji Ręczne, wyłączone 1.1.0
Ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania CMA_0277 — ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania Ręczne, wyłączone 1.1.0
Integrowanie przeglądu inspekcji, analizy i raportowania CMA_0339 — integrowanie przeglądu inspekcji, analizy i raportowania Ręczne, wyłączone 1.1.0
Integrowanie usługi Cloud App Security z rozwiązaniem siem CMA_0340 — integrowanie usługi Cloud App Security z rozwiązaniem siem Ręczne, wyłączone 1.1.0
Przeglądanie dzienników aprowizacji kont CMA_0460 — przeglądanie dzienników aprowizacji kont Ręczne, wyłączone 1.1.0
Przeglądanie przypisań administratorów co tydzień CMA_0461 — cotygodniowe przeglądanie przypisań administratorów Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0
Przegląd raportu tożsamości w chmurze — omówienie CMA_0468 — przegląd raportu tożsamości w chmurze — omówienie Ręczne, wyłączone 1.1.0
Przeglądanie kontrolowanych zdarzeń dostępu do folderów CMA_0471 — przegląd zdarzeń dostępu do kontrolowanych folderów Ręczne, wyłączone 1.1.0
Przeglądanie działania plików i folderów CMA_0473 — przeglądanie działania plików i folderów Ręczne, wyłączone 1.1.0
Przeglądanie zmian w grupie ról co tydzień CMA_0476 — przegląd zmian grupy ról co tydzień Ręczne, wyłączone 1.1.0

Korelowanie repozytoriów inspekcji

ID: FedRAMP Moderate AU-6 (3) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Korelowanie rekordów inspekcji CMA_0087 — korelowanie rekordów inspekcji Ręczne, wyłączone 1.1.0
Integrowanie usługi Cloud App Security z rozwiązaniem siem CMA_0340 — integrowanie usługi Cloud App Security z rozwiązaniem siem Ręczne, wyłączone 1.1.0

Redukcja inspekcji i generowanie raportów

Identyfikator: FedRAMP Moderate AU-7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Upewnij się, że rekordy inspekcji nie są zmieniane CMA_C1125 — upewnij się, że rekordy inspekcji nie są zmieniane Ręczne, wyłączone 1.1.0
Zapewnianie możliwości przeglądu inspekcji, analizy i raportowania CMA_C1124 — zapewnianie możliwości inspekcji, analizy i raportowania Ręczne, wyłączone 1.1.0

Automatyczne przetwarzanie

Identyfikator: FedRAMP Moderate AU-7 (1) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zapewnianie możliwości przetwarzania rekordów inspekcji kontrolowanych przez klienta CMA_C1126 — umożliwia przetwarzanie rekordów inspekcji kontrolowanych przez klienta Ręczne, wyłączone 1.1.0

Sygnatury czasowe

Identyfikator: FedRAMP Moderate AU-8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Używanie zegarów systemowych dla rekordów inspekcji CMA_0535 — używanie zegarów systemowych dla rekordów inspekcji Ręczne, wyłączone 1.1.0

Synchronizacja ze źródłem czasu autorytatywnego

ID: FedRAMP Moderate AU-8 (1) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Używanie zegarów systemowych dla rekordów inspekcji CMA_0535 — używanie zegarów systemowych dla rekordów inspekcji Ręczne, wyłączone 1.1.0

Ochrona informacji o inspekcji

Identyfikator: FedRAMP Moderate AU-9 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Włączanie autoryzacji podwójnej lub wspólnej CMA_0226 — włączanie podwójnej lub wspólnej autoryzacji Ręczne, wyłączone 1.1.0
Ochrona informacji inspekcji CMA_0401 — ochrona informacji inspekcji Ręczne, wyłączone 1.1.0

Inspekcja kopii zapasowej w oddzielnych systemach fizycznych/ składnikach

IDENTYFIKATOR: FedRAMP Moderate AU-9 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie zasad i procedur tworzenia kopii zapasowych CMA_0268 — ustanawianie zasad i procedur tworzenia kopii zapasowych Ręczne, wyłączone 1.1.0

Dostęp według podzestawu uprzywilejowanych użytkowników

ID: FedRAMP Moderate AU-9 (4) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ochrona informacji inspekcji CMA_0401 — ochrona informacji inspekcji Ręczne, wyłączone 1.1.0

Przechowywanie rekordów inspekcji

Identyfikator: FedRAMP Moderate AU-11 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przestrzegaj zdefiniowanych okresów przechowywania CMA_0004 — przestrzegaj zdefiniowanych okresów przechowywania Ręczne, wyłączone 1.1.0
Zachowywanie zasad i procedur zabezpieczeń CMA_0454 — zachowanie zasad i procedur zabezpieczeń Ręczne, wyłączone 1.1.0
Zachowywanie danych zakończonych użytkowników CMA_0455 — zachowywanie zakończonych danych użytkownika Ręczne, wyłączone 1.1.0
Serwery SQL z inspekcją miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji programu SQL Server na koncie magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. AuditIfNotExists, Disabled 3.0.0

Generowanie inspekcji

Identyfikator: FedRAMP Moderate AU-12 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled Wersja zapoznawcza 6.0.0
[Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux Te zasady przeprowadzają inspekcję maszyn usługi Azure Arc z systemem Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. AuditIfNotExists, Disabled 1.0.1—wersja zapoznawcza
[Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc Te zasady przeprowadzają inspekcję maszyn z systemem Windows Azure Arc, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. AuditIfNotExists, Disabled 1.0.1—wersja zapoznawcza
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. AuditIfNotExists, Disabled 1.0.2—wersja zapoznawcza
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. AuditIfNotExists, Disabled 1.0.2—wersja zapoznawcza
Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. AuditIfNotExists, Disabled 2.0.1
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Inspekcja na serwerze SQL powinna być włączona Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. AuditIfNotExists, Disabled 2.0.0
Usługa Azure Defender for App Service powinna być włączona Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. AuditIfNotExists, Disabled 1.0.3
Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender dla usługi Key Vault powinna być włączona Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. AuditIfNotExists, Disabled 1.0.3
Usługa Azure Defender dla usługi Resource Manager powinna być włączona Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Usługa Azure Defender dla serwerów powinna być włączona Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. AuditIfNotExists, Disabled 1.0.3
Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Należy włączyć usługę Microsoft Defender for Containers Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. AuditIfNotExists, Disabled 1.0.0
Usługa Microsoft Defender for Storage powinna być włączona Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. AuditIfNotExists, Disabled 1.0.0
Usługa Network Watcher powinna być włączona Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. AuditIfNotExists, Disabled 3.0.0
Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Dzienniki zasobów na kontach usługi Batch powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Dzienniki zasobów w centrum zdarzeń powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Dzienniki zasobów w usłudze IoT Hub powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 3.1.0
Dzienniki zasobów w usłudze Key Vault powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Dzienniki zasobów w usłudze Logic Apps powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.1.0
Dzienniki zasobów w usługa wyszukiwania powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Dzienniki zasobów w usłudze Service Bus powinny być włączone Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci AuditIfNotExists, Disabled 5.0.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0
Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Ocena zabezpieczeń i autoryzacja

Zasady i procedury dotyczące oceny zabezpieczeń i autoryzacji

Identyfikator: FedRAMP Moderate CA-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przegląd zasad i procedur dotyczących oceny zabezpieczeń i autoryzacji CMA_C1143 — przegląd zasad i procedur oceny zabezpieczeń i autoryzacji Ręczne, wyłączone 1.1.0

Oceny zabezpieczeń

IDENTYFIKATOR: FedRAMP Moderate CA-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ocena mechanizmów kontroli zabezpieczeń CMA_C1145 — ocena mechanizmów kontroli zabezpieczeń Ręczne, wyłączone 1.1.0
Dostarczanie wyników oceny zabezpieczeń CMA_C1147 — dostarczanie wyników oceny zabezpieczeń Ręczne, wyłączone 1.1.0
Opracowywanie planu oceny zabezpieczeń CMA_C1144 — opracowywanie planu oceny zabezpieczeń Ręczne, wyłączone 1.1.0
Tworzenie raportu oceny zabezpieczeń CMA_C1146 — tworzenie raportu oceny zabezpieczeń Ręczne, wyłączone 1.1.0

Niezależni asesorzy

Identyfikator: FedRAMP Moderate CA-2 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Stosowanie niezależnych asesorów do przeprowadzania ocen kontroli zabezpieczeń CMA_C1148 — stosowanie niezależnych asesorów do przeprowadzania ocen kontroli zabezpieczeń Ręczne, wyłączone 1.1.0

Wyspecjalizowane oceny

Identyfikator: FedRAMP Moderate CA-2 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wybieranie dodatkowych testów na potrzeby ocen kontroli zabezpieczeń CMA_C1149 — wybieranie dodatkowych testów na potrzeby ocen kontroli zabezpieczeń Ręczne, wyłączone 1.1.0

Organizacje zewnętrzne

IDENTYFIKATOR: FedRAMP Moderate CA-2 (3) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Akceptowanie wyników oceny CMA_C1150 — akceptowanie wyników oceny Ręczne, wyłączone 1.1.0

Połączenia systemowe

Identyfikator: FedRAMP Moderate CA-3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wymaganie umów zabezpieczających między połączeniami CMA_C1151 — wymaganie wzajemnych umów dotyczących zabezpieczeń Ręczne, wyłączone 1.1.0
Aktualizowanie umów dotyczących zabezpieczeń połączeń między połączeniami CMA_0519 — aktualizowanie umów dotyczących zabezpieczeń połączeń wzajemnych Ręczne, wyłączone 1.1.0

Niesklasyfikowane połączenia systemu bezpieczeństwa narodowego

Identyfikator: FedRAMP Moderate CA-3 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie ochrony granic systemu CMA_0328 — implementowanie ochrony granic systemu Ręczne, wyłączone 1.1.0

Ograniczenia dotyczące połączeń systemowych zewnętrznych

Identyfikator: FedRAMP Moderate CA-3 (5) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Stosowanie ograniczeń dotyczących połączeń między systemami zewnętrznymi CMA_C1155 — stosowanie ograniczeń dotyczących połączeń między systemami zewnętrznymi Ręczne, wyłączone 1.1.0

Plan działania i kamieni milowych

Identyfikator: FedRAMP Moderate CA-5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Opracowywanie poa&m CMA_C1156 — opracowywanie koncepcji i programowania Ręczne, wyłączone 1.1.0
Aktualizowanie elementów POA&M CMA_C1157 — aktualizowanie elementów POA&M Ręczne, wyłączone 1.1.0

Autoryzacja zabezpieczeń

Identyfikator: FedRAMP Moderate CA-6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przypisywanie urzędnika autoryzowania (AO) CMA_C1158 — przypisywanie urzędnika autoryzowania (AO) Ręczne, wyłączone 1.1.0
Upewnij się, że zasoby są autoryzowane CMA_C1159 — upewnij się, że zasoby są autoryzowane Ręczne, wyłączone 1.1.0
Aktualizowanie autoryzacji zabezpieczeń CMA_C1160 — aktualizowanie autoryzacji zabezpieczeń Ręczne, wyłączone 1.1.0

Ciągłe monitorowanie

Identyfikator: FedRAMP Moderate CA-7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konfigurowanie listy dozwolonych wykrywania CMA_0068 — konfigurowanie listy dozwolonych wykrywania Ręczne, wyłączone 1.1.0
Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego Ręczne, wyłączone 1.1.0
Poddawanie niezależnemu przeglądowi zabezpieczeń CMA_0515 — przechodzi niezależny przegląd zabezpieczeń Ręczne, wyłączone 1.1.0

Niezależna ocena

Identyfikator: FedRAMP Moderate CA-7 (1) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Stosowanie niezależnych asesorów do ciągłego monitorowania CMA_C1168 — stosowanie niezależnych asesorów do ciągłego monitorowania Ręczne, wyłączone 1.1.0

Niezależny agent penetracyjnych lub zespół

IDENTYFIKATOR: FedRAMP Moderate CA-8 (1) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zatrudniaj niezależny zespół do testowania penetracyjnego CMA_C1171 — zatrudniaj niezależny zespół do testowania penetracyjnego Ręczne, wyłączone 1.1.0

Wewnętrzne połączenia systemowe

Identyfikator: FedRAMP Moderate CA-9 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych CMA_0053 — sprawdzanie zgodności prywatności i zabezpieczeń przed nawiązaniem połączeń wewnętrznych Ręczne, wyłączone 1.1.0

Zarządzanie konfiguracją

Zasady i procedury zarządzania konfiguracją

ID: FedRAMP Moderate CM-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeglądanie i aktualizowanie zasad i procedur zarządzania konfiguracją CMA_C1175 — przegląd i aktualizowanie zasad i procedur zarządzania konfiguracją Ręczne, wyłączone 1.1.0

Konfiguracja punktu odniesienia

ID: FedRAMP Moderate CM-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konfigurowanie akcji dla niezgodnych urządzeń CMA_0062 — konfigurowanie akcji dla niezgodnych urządzeń Ręczne, wyłączone 1.1.0
Opracowywanie i obsługa konfiguracji punktów odniesienia CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej Ręczne, wyłączone 1.1.0
Wymuszanie ustawień konfiguracji zabezpieczeń CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń Ręczne, wyłączone 1.1.0
Ustanawianie tablicy sterowania konfiguracji CMA_0254 — ustanawianie tablicy sterowania konfiguracji Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie planu zarządzania konfiguracją CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją Ręczne, wyłączone 1.1.0
Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją Ręczne, wyłączone 1.1.0

Obsługa automatyzacji pod kątem dokładności/waluty

IDENTYFIKATOR: FedRAMP Moderate CM-2 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konfigurowanie akcji dla niezgodnych urządzeń CMA_0062 — konfigurowanie akcji dla niezgodnych urządzeń Ręczne, wyłączone 1.1.0
Opracowywanie i obsługa konfiguracji punktów odniesienia CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej Ręczne, wyłączone 1.1.0
Wymuszanie ustawień konfiguracji zabezpieczeń CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń Ręczne, wyłączone 1.1.0
Ustanawianie tablicy sterowania konfiguracji CMA_0254 — ustanawianie tablicy sterowania konfiguracji Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie planu zarządzania konfiguracją CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją Ręczne, wyłączone 1.1.0
Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją Ręczne, wyłączone 1.1.0

Przechowywanie poprzednich konfiguracji

IDENTYFIKATOR: FedRAMP Moderate CM-2 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zachowaj poprzednie wersje konfiguracji punktu odniesienia CMA_C1181 — zachowaj poprzednie wersje konfiguracji punktu odniesienia Ręczne, wyłączone 1.1.0

Konfigurowanie systemów, składników lub urządzeń dla obszarów wysokiego ryzyka

IDENTYFIKATOR: FedRAMP Moderate CM-2 (7) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zapewnienie, że zabezpieczenia bezpieczeństwa nie są potrzebne, gdy osoby wracają CMA_C1183 — zapewnienie, że zabezpieczenia bezpieczeństwa nie są potrzebne, gdy osoby wracają Ręczne, wyłączone 1.1.0
Nie zezwalaj, aby systemy informacyjne towarzyszyły osobom CMA_C1182 — nie zezwalaj na korzystanie z systemów informacyjnych towarzyszących osobom Ręczne, wyłączone 1.1.0

Kontrolka zmiany konfiguracji

ID: FedRAMP Moderate CM-3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie analizy wpływu na zabezpieczenia CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia Ręczne, wyłączone 1.1.0
Opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach CMA_0152 — opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach Ręczne, wyłączone 1.1.0
Ustanawianie strategii zarządzania ryzykiem CMA_0258 — ustanawianie strategii zarządzania ryzykiem Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0
Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów Ręczne, wyłączone 1.1.0
Przeprowadzanie oceny wpływu na prywatność CMA_0387 — przeprowadzanie oceny wpływu na prywatność Ręczne, wyłączone 1.1.0
Przeprowadzanie oceny ryzyka CMA_0388 — przeprowadzanie oceny ryzyka Ręczne, wyłączone 1.1.0
Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji Ręczne, wyłączone 1.1.0

Analiza wpływu na zabezpieczenia

ID: FedRAMP Moderate CM-4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie analizy wpływu na zabezpieczenia CMA_0057 — przeprowadzanie analizy wpływu na zabezpieczenia Ręczne, wyłączone 1.1.0
Opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach CMA_0152 — opracowywanie i utrzymywanie standardu zarządzanie lukami w zabezpieczeniach Ręczne, wyłączone 1.1.0
Ustanawianie strategii zarządzania ryzykiem CMA_0258 — ustanawianie strategii zarządzania ryzykiem Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0
Ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów CMA_0270 — ustanawianie wymagań dotyczących zarządzania konfiguracją dla deweloperów Ręczne, wyłączone 1.1.0
Przeprowadzanie oceny wpływu na prywatność CMA_0387 — przeprowadzanie oceny wpływu na prywatność Ręczne, wyłączone 1.1.0
Przeprowadzanie oceny ryzyka CMA_0388 — przeprowadzanie oceny ryzyka Ręczne, wyłączone 1.1.0
Przeprowadzanie inspekcji dla kontrolki zmiany konfiguracji CMA_0390 — przeprowadzanie inspekcji kontroli zmian konfiguracji Ręczne, wyłączone 1.1.0

Ograniczenia dostępu do zmian

Identyfikator: FedRAMP Moderate CM-5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie i dokumentowanie procesów kontroli zmian CMA_0265 — ustanawianie i dokumentowanie procesów kontroli zmian Ręczne, wyłączone 1.1.0

Automatyczne wymuszanie dostępu/inspekcja

IDENTYFIKATOR: FedRAMP Moderate CM-5 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wymuszanie i przeprowadzanie inspekcji ograniczeń dostępu CMA_C1203 — wymuszanie i inspekcja ograniczeń dostępu Ręczne, wyłączone 1.1.0

Podpisane składniki

IDENTYFIKATOR: FedRAMP Moderate CM-5 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ograniczanie nieautoryzowanego oprogramowania i instalacji oprogramowania układowego CMA_C1205 — ograniczanie nieautoryzowanego oprogramowania i instalacji oprogramowania układowego Ręczne, wyłączone 1.1.0

Ograniczanie uprawnień produkcyjnych/operacyjnych

IDENTYFIKATOR: FedRAMP Moderate CM-5 (5) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ogranicz uprawnienia do wprowadzania zmian w środowisku produkcyjnym CMA_C1206 — ograniczanie uprawnień do wprowadzania zmian w środowisku produkcyjnym Ręczne, wyłączone 1.1.0
Przeglądanie i ponowne ocenianie uprawnień CMA_C1207 — przeglądanie i ponowne ocenianie uprawnień Ręczne, wyłączone 1.1.0

Ustawienia konfiguracji

ID: FedRAMP Moderate CM-6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Przestarzałe]: Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)" Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowymi certyfikatami będą mogli uzyskać dostęp do aplikacji. Te zasady zostały zastąpione przez nowe zasady o tej samej nazwie, ponieważ protokół Http 2.0 nie obsługuje certyfikatów klienta. Inspekcja, wyłączone 3.1.0 — przestarzałe
Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. AuditIfNotExists, Disabled 1.0.0
Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. AuditIfNotExists, Disabled 2.0.0
Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. AuditIfNotExists, Disabled 2.0.0
Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) rozszerza usługę Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy (OPA), aby zastosować wymuszania i zabezpieczenia na dużą skalę w klastrach w sposób scentralizowany i spójny. Inspekcja, wyłączone 1.0.2
Wymuszanie ustawień konfiguracji zabezpieczeń CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń Ręczne, wyłączone 1.1.0
Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. AuditIfNotExists, Disabled 2.0.0
Aplikacje funkcji nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji funkcji. Zezwalaj tylko domenom wymaganym na interakcję z aplikacją funkcji. AuditIfNotExists, Disabled 2.0.0
Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów Wymuszanie limitów zasobów procesora CPU i pamięci kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 9.3.0
Kontenery klastra Kubernetes nie powinny udostępniać identyfikatora procesu hosta ani przestrzeni nazw IPC hosta Blokuj udostępnianie przestrzeni nazw identyfikatora procesu hosta i przestrzeni nazw IPC hosta w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.2 i CIS 5.2.3, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 5.2.0
Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor Kontenery powinny używać tylko dozwolonych profilów AppArmor w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 6.2.0
Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji Ogranicz możliwości zmniejszenia obszaru ataków kontenerów w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.8 i CIS 5.2.9, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 6.2.0
Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów Użyj obrazów z zaufanych rejestrów, aby zmniejszyć ryzyko narażenia klastra Kubernetes na nieznane luki w zabezpieczeniach, problemy z zabezpieczeniami i złośliwe obrazy. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 9.3.0
Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu Uruchamiaj kontenery z głównym systemem plików tylko do odczytu, aby chronić przed zmianami w czasie wykonywania, a złośliwe pliki binarne są dodawane do ścieżki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 6.3.0
Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów Ogranicz instalację woluminu HostPath zasobnika do dozwolonych ścieżek hostów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 6.2.0
Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup Kontroluj identyfikatory użytkowników, grup podstawowych, grup uzupełniających i grup plików, których zasobniki i kontenery mogą używać do uruchamiania w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 6.2.0
Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i zakresu portów Ogranicz dostęp zasobnika do sieci hostów i dozwolony zakres portów hosta w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.4, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 6.2.0
Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach Ogranicz usługi do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 8.2.0
Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery Nie zezwalaj na tworzenie uprzywilejowanych kontenerów w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.1, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 9.2.0
Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera Nie zezwalaj kontenerom na uruchamianie z eskalacją uprawnień do katalogu głównego w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.5, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 7.2.0
Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. AuditIfNotExists, Disabled 2.2.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0
Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. AuditIfNotExists, Disabled 2.0.0

Zautomatyzowane centralne zarządzanie / aplikacja / weryfikacja

IDENTYFIKATOR: FedRAMP Moderate CM-6 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wymuszanie ustawień konfiguracji zabezpieczeń CMA_0249 — wymuszanie ustawień konfiguracji zabezpieczeń Ręczne, wyłączone 1.1.0
Zarządzanie zgodnością dostawców usług w chmurze CMA_0290 — zarządzanie zgodnością dostawców usług w chmurze Ręczne, wyłączone 1.1.0
Wyświetlanie i konfigurowanie danych diagnostycznych systemu CMA_0544 — wyświetlanie i konfigurowanie danych diagnostycznych systemu Ręczne, wyłączone 1.1.0

Najmniejsza funkcjonalność

ID: FedRAMP Moderate CM-7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Azure Defender dla serwerów powinna być włączona Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. AuditIfNotExists, Disabled 1.0.3

Spis składników systemu informacyjnego

Identyfikator: FedRAMP Moderate CM-8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Tworzenie spisu danych CMA_0096 — tworzenie spisu danych Ręczne, wyłączone 1.1.0
Obsługa rejestrów przetwarzania danych osobowych CMA_0353 — utrzymywanie rejestrów przetwarzania danych osobowych Ręczne, wyłączone 1.1.0

Aktualizacje podczas instalacji/usuwania

Identyfikator: FedRAMP Moderate CM-8 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Tworzenie spisu danych CMA_0096 — tworzenie spisu danych Ręczne, wyłączone 1.1.0
Obsługa rejestrów przetwarzania danych osobowych CMA_0353 — utrzymywanie rejestrów przetwarzania danych osobowych Ręczne, wyłączone 1.1.0

Automatyczne wykrywanie nieautoryzowanych składników

ID: FedRAMP Moderate CM-8 (3) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Włączanie wykrywania urządzeń sieciowych CMA_0220 — włączanie wykrywania urządzeń sieciowych Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Plan zarządzania konfiguracją

Identyfikator: FedRAMP Moderate CM-9 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Tworzenie ochrony planu konfiguracji CMA_C1233 — tworzenie ochrony planu konfiguracji Ręczne, wyłączone 1.1.0
Opracowywanie i obsługa konfiguracji punktów odniesienia CMA_0153 — opracowywanie i utrzymywanie konfiguracji linii bazowej Ręczne, wyłączone 1.1.0
Opracowywanie planu identyfikacji elementu konfiguracji CMA_C1231 — opracowywanie planu identyfikacji elementu konfiguracji Ręczne, wyłączone 1.1.0
Opracowywanie planu zarządzania konfiguracją CMA_C1232 — opracowywanie planu zarządzania konfiguracją Ręczne, wyłączone 1.1.0
Ustanawianie i dokumentowanie planu zarządzania konfiguracją CMA_0264 — ustanawianie i dokumentowanie planu zarządzania konfiguracją Ręczne, wyłączone 1.1.0
Implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją CMA_0311 — implementowanie zautomatyzowanego narzędzia do zarządzania konfiguracją Ręczne, wyłączone 1.1.0

Ograniczenia użycia oprogramowania

Identyfikator: FedRAMP Moderate CM-10 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wymaganie zgodności z prawami własności intelektualnej CMA_0432 — wymaganie zgodności z prawami własności intelektualnej Ręczne, wyłączone 1.1.0
Śledzenie użycia licencji na oprogramowanie CMA_C1235 — śledzenie użycia licencji na oprogramowanie Ręczne, wyłączone 1.1.0

Oprogramowanie typu open source

IDENTYFIKATOR: FedRAMP Moderate CM-10 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ograniczanie używania oprogramowania typu open source CMA_C1237 — ograniczanie używania oprogramowania typu open source Ręczne, wyłączone 1.1.0

Planowanie awaryjne

Zasady i procedury planowania awaryjnego

IDENTYFIKATOR: FedRAMP Moderate CP-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przegląd i aktualizowanie zasad i procedur planowania awaryjnego CMA_C1243 — przegląd i aktualizowanie zasad i procedur planowania awaryjnego Ręczne, wyłączone 1.1.0

Plan awaryjny

ID: FedRAMP Moderate CP-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przekazywanie zmian w planie awaryjnym CMA_C1249 — przekazywanie zmian planu awaryjnego Ręczne, wyłączone 1.1.0
Koordynowanie planów awaryjnych z powiązanymi planami CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami Ręczne, wyłączone 1.1.0
Opracowywanie i dokumentowanie planu ciągłości działania i odzyskiwania po awarii CMA_0146 — opracowywanie i dokumentowanie planu ciągłości działania i odzyskiwania po awarii Ręczne, wyłączone 1.1.0
Opracowywanie planu awaryjnego CMA_C1244 — opracowywanie planu awaryjnego Ręczne, wyłączone 1.1.0
Opracowywanie zasad i procedur planowania awaryjnego CMA_0156 — Opracowywanie zasad i procedur planowania awaryjnego Ręczne, wyłączone 1.1.0
Dystrybuowanie zasad i procedur CMA_0185 — dystrybuowanie zasad i procedur Ręczne, wyłączone 1.1.0
Przegląd planu awaryjnego CMA_C1247 — przegląd planu awaryjnego Ręczne, wyłączone 1.1.0
Aktualizowanie planu awaryjnego CMA_C1248 — aktualizowanie planu awaryjnego Ręczne, wyłączone 1.1.0

IDENTYFIKATOR: FedRAMP Moderate CP-2 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Koordynowanie planów awaryjnych z powiązanymi planami CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami Ręczne, wyłączone 1.1.0

Planowanie pojemności

IDENTYFIKATOR: FedRAMP Moderate CP-2 (2) Własność: współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie planowania pojemności CMA_C1252 — Przeprowadzanie planowania pojemności Ręczne, wyłączone 1.1.0

Wznawianie podstawowych misji/funkcji biznesowych

IDENTYFIKATOR: FedRAMP Moderate CP-2 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Planowanie wznowienia podstawowych funkcji biznesowych CMA_C1253 — planowanie wznowienia podstawowych funkcji biznesowych Ręczne, wyłączone 1.1.0

Identyfikowanie krytycznych zasobów

IDENTYFIKATOR: FedRAMP Moderate CP-2 (8) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie oceny wpływu biznesowego i oceny krytycznej aplikacji CMA_0386 — przeprowadzanie oceny wpływu biznesowego i oceny krytycznej aplikacji Ręczne, wyłączone 1.1.0

Trenowanie awaryjne

ID: FedRAMP Moderate CP-3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zapewnianie szkolenia awaryjnego CMA_0412 — zapewnianie szkolenia awaryjnego Ręczne, wyłączone 1.1.0

Testowanie planu awaryjnego

IDENTYFIKATOR: FedRAMP Moderate CP-4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inicjowanie działań naprawczych dotyczących testowania planu awaryjnego CMA_C1263 — inicjowanie działań naprawczych dotyczących testowania planu awaryjnego Ręczne, wyłączone 1.1.0
Przegląd wyników testowania planu awaryjnego CMA_C1262 — przegląd wyników testowania planu awaryjnego Ręczne, wyłączone 1.1.0
Testowanie planu ciągłości działania i odzyskiwania po awarii CMA_0509 — testowanie planu ciągłości działania i odzyskiwania po awarii Ręczne, wyłączone 1.1.0

IDENTYFIKATOR: FedRAMP Moderate CP-4 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Koordynowanie planów awaryjnych z powiązanymi planami CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami Ręczne, wyłączone 1.1.0

Alternatywna witryna magazynu

IDENTYFIKATOR: FedRAMP Moderate CP-6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Upewnij się, że zabezpieczenia alternatywnej lokacji magazynu są równoważne lokacji głównej CMA_C1268 — upewnij się, że zabezpieczenia alternatywnej lokacji magazynu są równoważne lokacji głównej Ręczne, wyłączone 1.1.0
Ustanawianie alternatywnej lokacji magazynu do przechowywania i pobierania informacji o kopii zapasowej CMA_C1267 — ustanawianie alternatywnej lokacji magazynu w celu przechowywania i pobierania informacji o kopii zapasowej Ręczne, wyłączone 1.1.0
Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. Inspekcja, wyłączone 1.0.1
Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. Inspekcja, wyłączone 1.0.1
Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. Inspekcja, wyłączone 1.0.1
Magazyn geograficznie nadmiarowy powinien być włączony dla kont magazynu Używanie nadmiarowości geograficznej do tworzenia aplikacji o wysokiej dostępności Inspekcja, wyłączone 1.0.0
Długoterminowe tworzenie geograficznie nadmiarowej kopii zapasowej powinno być włączone dla baz danych Azure SQL Database Te zasady przeprowadzają inspekcję każdej usługi Azure SQL Database z długoterminowymi geograficznie nadmiarowymi kopiami zapasowymi, które nie są włączone. AuditIfNotExists, Disabled 2.0.0

Separacja z lokacji głównej

IDENTYFIKATOR: FedRAMP Moderate CP-6 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Tworzenie oddzielnych alternatywnych i głównych lokacji magazynu CMA_C1269 — tworzenie oddzielnych alternatywnych i głównych lokacji magazynu Ręczne, wyłączone 1.1.0
Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. Inspekcja, wyłączone 1.0.1
Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. Inspekcja, wyłączone 1.0.1
Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. Inspekcja, wyłączone 1.0.1
Magazyn geograficznie nadmiarowy powinien być włączony dla kont magazynu Używanie nadmiarowości geograficznej do tworzenia aplikacji o wysokiej dostępności Inspekcja, wyłączone 1.0.0
Długoterminowe tworzenie geograficznie nadmiarowej kopii zapasowej powinno być włączone dla baz danych Azure SQL Database Te zasady przeprowadzają inspekcję każdej usługi Azure SQL Database z długoterminowymi geograficznie nadmiarowymi kopiami zapasowymi, które nie są włączone. AuditIfNotExists, Disabled 2.0.0

Ułatwienia dostępu

IDENTYFIKATOR: FedRAMP Moderate CP-6 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Identyfikowanie i eliminowanie potencjalnych problemów w alternatywnej lokacji magazynu CMA_C1271 — identyfikowanie i eliminowanie potencjalnych problemów w alternatywnej lokacji magazynu Ręczne, wyłączone 1.1.0

Alternatywna lokacja przetwarzania

ID: FedRAMP Moderate CP-7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii Przeprowadź inspekcję maszyn wirtualnych, które nie mają skonfigurowanego odzyskiwania po awarii. Aby dowiedzieć się więcej o odzyskiwaniu po awarii, odwiedź stronę https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Ustanawianie alternatywnej lokacji przetwarzania CMA_0262 — ustanawianie alternatywnej lokacji przetwarzania Ręczne, wyłączone 1.1.0

Separacja z lokacji głównej

IDENTYFIKATOR: FedRAMP Moderate CP-7 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie alternatywnej lokacji przetwarzania CMA_0262 — ustanawianie alternatywnej lokacji przetwarzania Ręczne, wyłączone 1.1.0

Ułatwienia dostępu

IDENTYFIKATOR: FedRAMP Moderate CP-7 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie alternatywnej lokacji przetwarzania CMA_0262 — ustanawianie alternatywnej lokacji przetwarzania Ręczne, wyłączone 1.1.0

Priorytet usługi

IDENTYFIKATOR: FedRAMP Moderate CP-7 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie alternatywnej lokacji przetwarzania CMA_0262 — ustanawianie alternatywnej lokacji przetwarzania Ręczne, wyłączone 1.1.0
Ustanawianie wymagań dla dostawców usług internetowych CMA_0278 — określanie wymagań dla dostawców usług internetowych Ręczne, wyłączone 1.1.0

Priorytet aprowizowania usług

IDENTYFIKATOR: FedRAMP Moderate CP-8 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie wymagań dla dostawców usług internetowych CMA_0278 — określanie wymagań dla dostawców usług internetowych Ręczne, wyłączone 1.1.0

Kopia zapasowa systemu informacyjnego

IDENTYFIKATOR: FedRAMP Moderate CP-9 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Azure Backup powinna być włączona dla maszyn wirtualnych Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. AuditIfNotExists, Disabled 3.0.0
Wykonywanie kopii zapasowej dokumentacji systemu informacyjnego CMA_C1289 — wykonywanie kopii zapasowej dokumentacji systemu informacyjnego Ręczne, wyłączone 1.1.0
Ustanawianie zasad i procedur tworzenia kopii zapasowych CMA_0268 — ustanawianie zasad i procedur tworzenia kopii zapasowych Ręczne, wyłączone 1.1.0
Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. Inspekcja, wyłączone 1.0.1
Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. Inspekcja, wyłączone 1.0.1
Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. Inspekcja, wyłączone 1.0.1
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Magazyny kluczy powinny mieć włączoną ochronę usuwania Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe. Inspekcja, Odmowa, Wyłączone 2.1.0
Magazyny kluczy powinny mieć włączone usuwanie nietrwałe Usunięcie magazynu kluczy bez włączonego usuwania nietrwałego powoduje trwałe usunięcie wszystkich wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Przypadkowe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Usuwanie nietrwałe umożliwia odzyskanie przypadkowo usuniętego magazynu kluczy dla konfigurowalnego okresu przechowywania. Inspekcja, Odmowa, Wyłączone 3.0.0

Oddzielny magazyn dla informacji krytycznych

IDENTYFIKATOR: FedRAMP Moderate CP-9 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Oddzielnie przechowuj informacje o kopii zapasowej CMA_C1293 — oddzielnie przechowuj informacje o kopii zapasowej Ręczne, wyłączone 1.1.0

Odzyskiwanie i rekonstytucja systemu informacyjnego

Identyfikator: FedRAMP Moderate CP-10 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Odzyskiwanie i ponowne zastępowanie zasobów po wystąpieniu zakłóceń CMA_C1295 — odzyskiwanie i ponowne odtworzenie zasobów po wystąpieniu zakłóceń Ręczne, wyłączone 1.1.1

Odzyskiwanie transakcji

IDENTYFIKATOR: FedRAMP Moderate CP-10 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie odzyskiwania opartego na transakcji CMA_C1296 — implementowanie odzyskiwania opartego na transakcji Ręczne, wyłączone 1.1.0

Identyfikacja i uwierzytelnianie

Zasady i procedury identyfikacji i uwierzytelniania

ID: FedRAMP Moderate IA-1 Ownership: Shared (Identyfikator: Własność IA-1 fedRAMP Moderate): Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania CMA_C1299 — przeglądanie i aktualizowanie zasad i procedur identyfikacji i uwierzytelniania Ręczne, wyłączone 1.1.0

Identyfikacja i uwierzytelnianie (użytkownicy organizacyjni)

IDENTYFIKATOR: FedRAMP Moderate IA-2 Ownership: Shared (Umiarkowana własność IA-2 fedRAMP: współdzielona)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft AuditIfNotExists, Disabled 1.0.0
Aplikacje usługi App Service powinny używać tożsamości zarządzanej Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania AuditIfNotExists, Disabled 3.0.0
Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth Inspekcja, Odmowa, Wyłączone 1.1.0
Wymuszanie unikatowości użytkownika CMA_0250 — wymuszanie unikatowości użytkownika Ręczne, wyłączone 1.1.0
Aplikacje funkcji powinny używać tożsamości zarządzanej Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania AuditIfNotExists, Disabled 3.0.0
Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric Inspekcja, Odmowa, Wyłączone 1.1.0
Obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne CMA_0507 — obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne Ręczne, wyłączone 1.1.0

Dostęp sieciowy do uprzywilejowanych kont

IDENTYFIKATOR: FedRAMP Moderate IA-2 (1) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Wdrażanie mechanizmów uwierzytelniania biometrycznego CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego Ręczne, wyłączone 1.1.0

Dostęp sieciowy do kont nieuprzywilejowanych

ID: FedRAMP Moderate IA-2 (2) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. AuditIfNotExists, Disabled 1.0.0
Wdrażanie mechanizmów uwierzytelniania biometrycznego CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego Ręczne, wyłączone 1.1.0

Dostęp lokalny do uprzywilejowanych kont

ID: FedRAMP Moderate IA-2 (3) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wdrażanie mechanizmów uwierzytelniania biometrycznego CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego Ręczne, wyłączone 1.1.0

Uwierzytelnianie grupy

ID: FedRAMP Moderate IA-2 (5) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wymaganie użycia poszczególnych wystawców uwierzytelnienia CMA_C1305 — wymaganie użycia poszczególnych wystawców uwierzytelnienia Ręczne, wyłączone 1.1.0

Dostęp zdalny — oddzielne urządzenie

Identyfikator: FedRAMP Moderate IA-2 (11) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wdrażanie mechanizmów uwierzytelniania biometrycznego CMA_0005 — wdrażanie mechanizmów uwierzytelniania biometrycznego Ręczne, wyłączone 1.1.0
Identyfikowanie i uwierzytelnianie urządzeń sieciowych CMA_0296 — identyfikowanie i uwierzytelnianie urządzeń sieciowych Ręczne, wyłączone 1.1.0

Akceptacja poświadczeń piv

ID: FedRAMP Moderate IA-2 (12) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne CMA_0507 — obsługa osobistych poświadczeń weryfikacji wydanych przez organy prawne Ręczne, wyłączone 1.1.0

Zarządzanie identyfikatorami

Identyfikator: FedRAMP Moderate IA-4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft AuditIfNotExists, Disabled 1.0.0
Aplikacje usługi App Service powinny używać tożsamości zarządzanej Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania AuditIfNotExists, Disabled 3.0.0
Przypisywanie identyfikatorów systemowych CMA_0018 — przypisywanie identyfikatorów systemu Ręczne, wyłączone 1.1.0
Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth Inspekcja, Odmowa, Wyłączone 1.1.0
Aplikacje funkcji powinny używać tożsamości zarządzanej Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania AuditIfNotExists, Disabled 3.0.0
Zapobiegaj ponownemu używaniu identyfikatora dla zdefiniowanego okresu CMA_C1314 — zapobieganie ponownemu używaniu identyfikatora przez zdefiniowany okres Ręczne, wyłączone 1.1.0
Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric Inspekcja, Odmowa, Wyłączone 1.1.0

Identyfikowanie stanu użytkownika

ID: FedRAMP Moderate IA-4 (4) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Identyfikowanie stanu poszczególnych użytkowników CMA_C1316 — identyfikowanie stanu poszczególnych użytkowników Ręczne, wyłączone 1.1.0

Zarządzanie modułem Authenticator

Identyfikator: FedRAMP Moderate IA-5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. Modyfikowanie 4.1.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. Modyfikowanie 4.1.0
Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 AuditIfNotExists, Disabled 3.1.0
Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego AuditIfNotExists, Disabled 2.0.0
Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH Mimo że sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Certyfikaty powinny mieć określony maksymalny okres ważności Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas ważności certyfikatu w magazynie kluczy. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 2.2.1
Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. deployIfNotExists 3.1.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. deployIfNotExists 1.2.0
Ustanawianie typów i procesów wystawców uwierzytelnianych CMA_0267 — ustanawianie typów i procesów wystawców uwierzytelnianych Ręczne, wyłączone 1.1.0
Ustanawianie procedur początkowej dystrybucji wystawców uwierzytelnianych CMA_0276 — ustanawianie procedur wstępnej dystrybucji wystawców uwierzytelnianych Ręczne, wyłączone 1.1.0
Implementowanie szkolenia na potrzeby ochrony wystawców uwierzytelnienia CMA_0329 — implementowanie szkolenia w celu ochrony wystawców uwierzytelnienia Ręczne, wyłączone 1.1.0
Klucze usługi Key Vault powinny mieć datę wygaśnięcia Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. Inspekcja, Odmowa, Wyłączone 1.0.2
Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych. Inspekcja, Odmowa, Wyłączone 1.0.2
Zarządzanie okresem istnienia wystawcy uwierzytelnienia i używaniem go ponownie CMA_0355 — zarządzanie okresem istnienia i ponownym użyciem wystawcy uwierzytelnienia Ręczne, wyłączone 1.1.0
Zarządzanie wystawcami uwierzytelnień CMA_C1321 — zarządzanie wystawcami uwierzytelnień Ręczne, wyłączone 1.1.0
Odświeżanie wystawców uwierzytelnienia CMA_0425 — odświeżanie wystawców uwierzytelnienia Ręczne, wyłączone 1.1.0
Ponowne uwierzytelnianie dla zmienionych grup i kont CMA_0426 — ponowne uwierzytelnianie dla zmienionych grup i kont Ręczne, wyłączone 1.1.0
Weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia CMA_0538 — weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia Ręczne, wyłączone 1.1.0

Uwierzytelnianie oparte na hasłach

Identyfikator: FedRAMP Moderate IA-5 (1) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa, ale nie mają żadnych tożsamości zarządzanych. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. Modyfikowanie 4.1.0
Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika Te zasady dodają tożsamość zarządzaną przypisaną przez system do maszyn wirtualnych hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa i mają co najmniej jedną tożsamość przypisaną przez użytkownika, ale nie mają przypisanej przez system tożsamości zarządzanej. Tożsamość zarządzana przypisana przez system jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa i musi zostać dodana do maszyn przed użyciem dowolnych definicji zasad konfiguracji gościa. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. Modyfikowanie 4.1.0
Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 AuditIfNotExists, Disabled 3.1.0
Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które zezwalają na ponowne użycie haseł po określonej liczbie unikatowych haseł. Wartość domyślna dla unikatowych haseł to 24 AuditIfNotExists, Disabled 2.1.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają ustawionego maksymalnego wieku hasła na określoną liczbę dni Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają maksymalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna maksymalnego wieku hasła to 70 dni AuditIfNotExists, Disabled 2.1.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni. Wartość domyślna minimalnego wieku hasła to 1 dzień AuditIfNotExists, Disabled 2.1.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie mają włączonego ustawienia złożoności hasła AuditIfNotExists, Disabled 2.0.0
Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków. Wartość domyślna minimalnej długości hasła to 14 znaków AuditIfNotExists, Disabled 2.1.0
Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyny z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego AuditIfNotExists, Disabled 2.0.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux Te zasady wdrażają rozszerzenie Konfiguracja gościa systemu Linux na maszynach wirtualnych z systemem Linux hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Linux jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Linux i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Linux. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. deployIfNotExists 3.1.0
Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows Te zasady wdraża rozszerzenie Konfiguracja gościa systemu Windows na maszynach wirtualnych z systemem Windows hostowanych na platformie Azure, które są obsługiwane przez konfigurację gościa. Rozszerzenie Konfiguracja gościa systemu Windows jest wymaganiem wstępnym dla wszystkich przypisań konfiguracji gościa systemu Windows i należy je wdrożyć na maszynach przed użyciem dowolnej definicji zasad konfiguracji gościa systemu Windows. Aby uzyskać więcej informacji na temat konfiguracji gościa, odwiedź stronę https://aka.ms/gcpol. deployIfNotExists 1.2.0
Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia Ręczne, wyłączone 1.1.0
Ustanawianie zasad haseł CMA_0256 — ustanawianie zasad haseł Ręczne, wyłączone 1.1.0
Implementowanie parametrów dla weryfikatorów wpisów tajnych do zapamiętania CMA_0321 — implementowanie parametrów dla zapamiętanych weryfikatorów wpisów tajnych Ręczne, wyłączone 1.1.0
Ochrona haseł za pomocą szyfrowania CMA_0408 — ochrona haseł za pomocą szyfrowania Ręczne, wyłączone 1.1.0

Uwierzytelnianie oparte na infrastrukturze kluczy publicznych

ID: FedRAMP Moderate IA-5 (2) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dynamiczne wiązanie wystawców uwierzytelnień i tożsamości CMA_0035 — dynamiczne wiązanie wystawców uwierzytelnień i tożsamości Ręczne, wyłączone 1.1.0
Ustanawianie typów i procesów wystawców uwierzytelnianych CMA_0267 — ustanawianie typów i procesów wystawców uwierzytelnianych Ręczne, wyłączone 1.1.0
Ustanawianie parametrów wyszukiwania wpisów tajnych wystawców uwierzytelnień i weryfikatorów CMA_0274 — ustanawianie parametrów wyszukiwania wpisów tajnych wystawców uwierzytelnień i weryfikatorów Ręczne, wyłączone 1.1.0
Ustanawianie procedur początkowej dystrybucji wystawców uwierzytelnianych CMA_0276 — ustanawianie procedur wstępnej dystrybucji wystawców uwierzytelnianych Ręczne, wyłączone 1.1.0
Mapuj tożsamości uwierzytelnione na osoby CMA_0372 — mapuj tożsamości uwierzytelnione na osoby Ręczne, wyłączone 1.1.0
Ograniczanie dostępu do kluczy prywatnych CMA_0445 — ograniczanie dostępu do kluczy prywatnych Ręczne, wyłączone 1.1.0
Weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia CMA_0538 — weryfikowanie tożsamości przed dystrybucją wystawców uwierzytelnienia Ręczne, wyłączone 1.1.0

Rejestracja osób lub zaufanych osób trzecich

ID: FedRAMP Moderate IA-5 (3) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dystrybuowanie wystawców uwierzytelnień CMA_0184 — dystrybuowanie wystawców uwierzytelnień Ręczne, wyłączone 1.1.0

Automatyczna obsługa określania siły hasła

ID: FedRAMP Moderate IA-5 (4) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia Ręczne, wyłączone 1.1.0
Ustanawianie zasad haseł CMA_0256 — ustanawianie zasad haseł Ręczne, wyłączone 1.1.0
Implementowanie parametrów dla weryfikatorów wpisów tajnych do zapamiętania CMA_0321 — implementowanie parametrów dla zapamiętanych weryfikatorów wpisów tajnych Ręczne, wyłączone 1.1.0

Ochrona wystawców uwierzytelnień

ID: FedRAMP Moderate IA-5 (6) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zapewnianie, że autoryzowani użytkownicy chronią dostarczonych wystawców uwierzytelnień CMA_C1339 — upewnij się, że autoryzowani użytkownicy chronią dostarczonych wystawców uwierzytelnień Ręczne, wyłączone 1.1.0

Brak osadzonych niezaszyfrowanych statycznych wystawców uwierzytelnień

ID: FedRAMP Moderate IA-5 (7) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Upewnij się, że nie ma niezaszyfrowanych statycznych wystawców uwierzytelnienia CMA_C1340 — upewnij się, że nie ma niezaszyfrowanych statycznych wystawców uwierzytelnienia Ręczne, wyłączone 1.1.0

Uwierzytelnianie oparte na tokenach sprzętowych

Identyfikator: FedRAMP Moderate IA-5 (11) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Spełnianie wymagań dotyczących jakości tokenów CMA_0487 — spełnianie wymagań dotyczących jakości tokenu Ręczne, wyłączone 1.1.0

Opinia wystawcy uwierzytelnienia

Identyfikator: FedRAMP Moderate IA-6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Niejasne informacje zwrotne podczas procesu uwierzytelniania CMA_C1344 — niejasne informacje zwrotne podczas procesu uwierzytelniania Ręczne, wyłączone 1.1.0

Uwierzytelnianie modułu kryptograficznego

IDENTYFIKATOR: FedRAMP Moderate IA-7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Uwierzytelnianie w module kryptograficznym CMA_0021 — uwierzytelnianie w module kryptograficznym Ręczne, wyłączone 1.1.0

Identyfikacja i uwierzytelnianie (użytkownicy nienależące do organizacji)

Identyfikator: FedRAMP Moderate IA-8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi CMA_C1346 — identyfikowanie i uwierzytelnianie użytkowników niebędących użytkownikami organizacyjnymi Ręczne, wyłączone 1.1.0

Akceptacja poświadczeń piv z innych agencji

ID: FedRAMP Moderate IA-8 (1) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Akceptowanie poświadczeń piv CMA_C1347 — akceptowanie poświadczeń piv Ręczne, wyłączone 1.1.0

Akceptacja poświadczeń innych firm

IDENTYFIKATOR: FedRAMP Moderate IA-8 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Akceptowanie tylko poświadczeń innych firm zatwierdzonych przez program FICAM CMA_C1348 — akceptowanie tylko poświadczeń innych firm zatwierdzonych przez program FICAM Ręczne, wyłączone 1.1.0

Korzystanie z produktów zatwierdzonych przez ficam

ID: FedRAMP Moderate IA-8 (3) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Stosowanie zasobów zatwierdzonych przez program FICAM w celu akceptowania poświadczeń innych firm CMA_C1349 — stosowanie zasobów zatwierdzonych przez program FICAM w celu akceptowania poświadczeń innych firm Ręczne, wyłączone 1.1.0

Korzystanie z profilów wystawionych przez ficam

ID: FedRAMP Moderate IA-8 (4) Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zgodność z profilami wystawionych przez program FICAM CMA_C1350 — zgodność z profilami wystawionych przez program FICAM Ręczne, wyłączone 1.1.0

Reagowania na incydenty

Zasady i procedury reagowania na zdarzenia

Identyfikator: FedRAMP Moderate IR-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia CMA_C1352 — przeglądanie i aktualizowanie zasad i procedur reagowania na zdarzenia Ręczne, wyłączone 1.1.0

Szkolenie reagowania na zdarzenia

Id: FedRAMP Moderate IR-2 Ownership: Shared (Identyfikator: Współużytkowany)

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zapewnianie szkolenia rozlewu informacji CMA_0413 — udostępnianie szkoleń dotyczących wycieku informacji Ręczne, wyłączone 1.1.0

Testowanie reagowania na zdarzenia

Id: FedRAMP Moderate IR-3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie testów reagowania na zdarzenia CMA_0060 — przeprowadzanie testów reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustanawianie programu zabezpieczeń informacji CMA_0263 — ustanawianie programu zabezpieczeń informacji Ręczne, wyłączone 1.1.0
Uruchamianie ataków symulacji CMA_0486 — uruchamianie ataków symulacji Ręczne, wyłączone 1.1.0

Identyfikator: FedRAMP Moderate IR-3 (2) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie testów reagowania na zdarzenia CMA_0060 — przeprowadzanie testów reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustanawianie programu zabezpieczeń informacji CMA_0263 — ustanawianie programu zabezpieczeń informacji Ręczne, wyłączone 1.1.0
Uruchamianie ataków symulacji CMA_0486 — uruchamianie ataków symulacji Ręczne, wyłączone 1.1.0

Obsługa zdarzeń

Id: FedRAMP Moderate IR-4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ocena zdarzeń zabezpieczeń informacji CMA_0013 — ocena zdarzeń zabezpieczeń informacji Ręczne, wyłączone 1.1.0
Usługa Azure Defender for App Service powinna być włączona Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. AuditIfNotExists, Disabled 1.0.3
Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender dla usługi Key Vault powinna być włączona Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. AuditIfNotExists, Disabled 1.0.3
Usługa Azure Defender dla usługi Resource Manager powinna być włączona Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Usługa Azure Defender dla serwerów powinna być włączona Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. AuditIfNotExists, Disabled 1.0.3
Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2
Koordynowanie planów awaryjnych z powiązanymi planami CMA_0086 — koordynowanie planów awaryjnych z powiązanymi planami Ręczne, wyłączone 1.1.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Opracowywanie zabezpieczeń CMA_0161 — opracowywanie zabezpieczeń Ręczne, wyłączone 1.1.0
Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. AuditIfNotExists, Disabled 1.2.0
Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. AuditIfNotExists, Disabled 2.1.0
Włączanie ochrony sieci CMA_0238 — włączanie ochrony sieci Ręczne, wyłączone 1.1.0
Eliminowanie zanieczyszczonych informacji CMA_0253 - Eliminowanie zanieczyszczonych informacji Ręczne, wyłączone 1.1.0
Wykonywanie akcji w odpowiedzi na wycieki informacji CMA_0281 — wykonywanie akcji w odpowiedzi na wycieki informacji Ręczne, wyłączone 1.1.0
Implementowanie obsługi zdarzeń CMA_0318 — implementowanie obsługi zdarzeń Ręczne, wyłączone 1.1.0
Obsługa planu reagowania na zdarzenia CMA_0352 — obsługa planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Należy włączyć usługę Microsoft Defender for Containers Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. AuditIfNotExists, Disabled 1.0.0
Usługa Microsoft Defender for Storage powinna być włączona Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. AuditIfNotExists, Disabled 1.0.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. AuditIfNotExists, Disabled 1.0.1
Wyświetlanie i badanie użytkowników z ograniczeniami CMA_0545 — wyświetlanie i badanie użytkowników z ograniczeniami Ręczne, wyłączone 1.1.0

Zautomatyzowane procesy obsługi zdarzeń

Identyfikator: FedRAMP Moderate IR-4 (1) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Włączanie ochrony sieci CMA_0238 — włączanie ochrony sieci Ręczne, wyłączone 1.1.0
Implementowanie obsługi zdarzeń CMA_0318 — implementowanie obsługi zdarzeń Ręczne, wyłączone 1.1.0

Monitorowanie zdarzeń

IDENTYFIKATOR: FedRAMP Moderate IR-5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Azure Defender for App Service powinna być włączona Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. AuditIfNotExists, Disabled 1.0.3
Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender dla usługi Key Vault powinna być włączona Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. AuditIfNotExists, Disabled 1.0.3
Usługa Azure Defender dla usługi Resource Manager powinna być włączona Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Usługa Azure Defender dla serwerów powinna być włączona Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. AuditIfNotExists, Disabled 1.0.3
Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2
Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. AuditIfNotExists, Disabled 1.2.0
Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. AuditIfNotExists, Disabled 2.1.0
Należy włączyć usługę Microsoft Defender for Containers Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. AuditIfNotExists, Disabled 1.0.0
Usługa Microsoft Defender for Storage powinna być włączona Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. AuditIfNotExists, Disabled 1.0.0
Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. AuditIfNotExists, Disabled 1.0.1

Automatyczne raportowanie

Identyfikator: FedRAMP Moderate IR-6 (1) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Operacje zabezpieczeń dokumentu CMA_0202 — operacje zabezpieczeń dokumentu Ręczne, wyłączone 1.1.0

Pomoc dotycząca reagowania na zdarzenia

Identyfikator: FedRAMP Moderate IR-7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Operacje zabezpieczeń dokumentu CMA_0202 — operacje zabezpieczeń dokumentu Ręczne, wyłączone 1.1.0

Obsługa automatyzacji w celu zapewnienia dostępności informacji/ pomocy technicznej

Id: FedRAMP Moderate IR-7 (1) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Włączanie ochrony sieci CMA_0238 — włączanie ochrony sieci Ręczne, wyłączone 1.1.0
Eliminowanie zanieczyszczonych informacji CMA_0253 - Eliminowanie zanieczyszczonych informacji Ręczne, wyłączone 1.1.0
Wykonywanie akcji w odpowiedzi na wycieki informacji CMA_0281 — wykonywanie akcji w odpowiedzi na wycieki informacji Ręczne, wyłączone 1.1.0
Implementowanie obsługi zdarzeń CMA_0318 — implementowanie obsługi zdarzeń Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Wyświetlanie i badanie użytkowników z ograniczeniami CMA_0545 — wyświetlanie i badanie użytkowników z ograniczeniami Ręczne, wyłączone 1.1.0

Koordynacja z dostawcami zewnętrznymi

Identyfikator: FedRAMP Moderate IR-7 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie relacji między możliwościami reagowania na zdarzenia a dostawcami zewnętrznymi CMA_C1376 — ustanawianie relacji między możliwościami reagowania na zdarzenia i dostawcami zewnętrznymi Ręczne, wyłączone 1.1.0
Identyfikowanie personelu reagowania na zdarzenia CMA_0301 — identyfikowanie personelu reagowania na zdarzenia Ręczne, wyłączone 1.1.0

Plan reagowania na zdarzenia

Identyfikator: FedRAMP Moderate IR-8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ocena zdarzeń zabezpieczeń informacji CMA_0013 — ocena zdarzeń zabezpieczeń informacji Ręczne, wyłączone 1.1.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Implementowanie obsługi zdarzeń CMA_0318 — implementowanie obsługi zdarzeń Ręczne, wyłączone 1.1.0
Obsługa rekordów naruszeń danych CMA_0351 — utrzymywanie rekordów naruszeń danych Ręczne, wyłączone 1.1.0
Obsługa planu reagowania na zdarzenia CMA_0352 — obsługa planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ochrona planu reagowania na zdarzenia CMA_0405 — ochrona planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0

Odpowiedź rozlania informacji

Identyfikator: FedRAMP Moderate IR-9 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Eliminowanie zanieczyszczonych informacji CMA_0253 - Eliminowanie zanieczyszczonych informacji Ręczne, wyłączone 1.1.0
Wykonywanie akcji w odpowiedzi na wycieki informacji CMA_0281 — wykonywanie akcji w odpowiedzi na wycieki informacji Ręczne, wyłączone 1.1.0
Identyfikowanie zanieczyszczonych systemów i składników CMA_0300 — identyfikowanie zanieczyszczonych systemów i składników Ręczne, wyłączone 1.1.0
Identyfikowanie rozlanych informacji CMA_0303 — identyfikowanie rozlanych informacji Ręczne, wyłączone 1.1.0
Izolowanie wycieków informacji CMA_0346 — izolowanie wycieków informacji Ręczne, wyłączone 1.1.0

Personel odpowiedzialny

Identyfikator: FedRAMP Moderate IR-9 (1) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Identyfikowanie personelu reagowania na zdarzenia CMA_0301 — identyfikowanie personelu reagowania na zdarzenia Ręczne, wyłączone 1.1.0

Szkolenia

Identyfikator: FedRAMP Moderate IR-9 (2) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zapewnianie szkolenia rozlewu informacji CMA_0413 — udostępnianie szkoleń dotyczących wycieku informacji Ręczne, wyłączone 1.1.0

Operacje po rozlaniu

IDENTYFIKATOR: FedRAMP Moderate IR-9 (3) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Opracowywanie procedur reagowania na wyciek CMA_0162 — opracowywanie procedur reagowania na wyciek Ręczne, wyłączone 1.1.0

Narażenie na nieautoryzowany personel

IDENTYFIKATOR: FedRAMP Moderate IR-9 (4) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Opracowywanie zabezpieczeń CMA_0161 — opracowywanie zabezpieczeń Ręczne, wyłączone 1.1.0

Konserwacja

Zasady i procedury konserwacji systemu

IDENTYFIKATOR: FedRAMP Moderate MA-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeglądanie i aktualizowanie zasad i procedur konserwacji systemu CMA_C1395 — przegląd i aktualizowanie zasad i procedur konserwacji systemu Ręczne, wyłączone 1.1.0

Kontrolowana konserwacja

IDENTYFIKATOR: FedRAMP Moderate MA-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kontrolowanie działań konserwacyjnych i naprawczych CMA_0080 — kontrolowanie działań konserwacyjnych i naprawczych Ręczne, wyłączone 1.1.0
Stosowanie mechanizmu oczyszczania multimediów CMA_0208 — stosowanie mechanizmu oczyszczania multimediów Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi Ręczne, wyłączone 1.1.0

Narzędzia konserwacji

IDENTYFIKATOR: FedRAMP Moderate MA-3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kontrolowanie działań konserwacyjnych i naprawczych CMA_0080 — kontrolowanie działań konserwacyjnych i naprawczych Ręczne, wyłączone 1.1.0
Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi Ręczne, wyłączone 1.1.0

Narzędzia inspekcji

IDENTYFIKATOR: FedRAMP Moderate MA-3 (1) Własność: Współużytkowana

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kontrolowanie działań konserwacyjnych i naprawczych CMA_0080 — kontrolowanie działań konserwacyjnych i naprawczych Ręczne, wyłączone 1.1.0
Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi Ręczne, wyłączone 1.1.0

Inspekcja multimediów

ID: FedRAMP Moderate MA-3 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kontrolowanie działań konserwacyjnych i naprawczych CMA_0080 — kontrolowanie działań konserwacyjnych i naprawczych Ręczne, wyłączone 1.1.0
Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi Ręczne, wyłączone 1.1.0

Zapobieganie nieautoryzowanemu usuwaniu

IDENTYFIKATOR: FedRAMP Moderate MA-3 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kontrolowanie działań konserwacyjnych i naprawczych CMA_0080 — kontrolowanie działań konserwacyjnych i naprawczych Ręczne, wyłączone 1.1.0
Stosowanie mechanizmu oczyszczania multimediów CMA_0208 — stosowanie mechanizmu oczyszczania multimediów Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi Ręczne, wyłączone 1.1.0

Konserwacja nielokalna

IDENTYFIKATOR: FedRAMP Moderate MA-4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi Ręczne, wyłączone 1.1.0

Konserwacja nielokalna dokumentu

IDENTYFIKATOR: FedRAMP Moderate MA-4 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi CMA_0364 — zarządzanie nielokacyjną konserwacją i działaniami diagnostycznymi Ręczne, wyłączone 1.1.0

Personel obsługi technicznej

ID: FedRAMP Moderate MA-5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wyznaczanie personelu w celu nadzorowania nieautoryzowanych działań konserwacyjnych CMA_C1422 — wyznaczanie personelu w celu nadzorowania nieautoryzowanych działań konserwacyjnych Ręczne, wyłączone 1.1.0
Obsługa listy autoryzowanych pracowników obsługi zdalnej CMA_C1420 — obsługa listy autoryzowanych pracowników obsługi zdalnej Ręczne, wyłączone 1.1.0
Zarządzanie personelem obsługi technicznej CMA_C1421 — zarządzanie personelem obsługi technicznej Ręczne, wyłączone 1.1.0

Osoby bez odpowiedniego dostępu

ID: FedRAMP Moderate MA-5 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Stosowanie mechanizmu oczyszczania multimediów CMA_0208 — stosowanie mechanizmu oczyszczania multimediów Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0

Czasowa konserwacja

ID: FedRAMP Moderate MA-6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zapewnianie pomocy technicznej w zakresie terminowej konserwacji CMA_C1425 — zapewnianie pomocy technicznej w zakresie terminowej konserwacji Ręczne, wyłączone 1.1.0

Ochrona multimediów

Zasady i procedury ochrony multimediów

IDENTYFIKATOR: FedRAMP Moderate MP-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeglądanie i aktualizowanie zasad i procedur ochrony multimediów CMA_C1427 — przeglądanie i aktualizowanie zasad i procedur ochrony multimediów Ręczne, wyłączone 1.1.0

Dostęp do multimediów

IDENTYFIKATOR: FedRAMP Moderate MP-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0

Znakowanie multimediów

ID: FedRAMP Moderate MP-3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0

Magazyn multimediów

IDENTYFIKATOR: FedRAMP Moderate MP-4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Stosowanie mechanizmu oczyszczania multimediów CMA_0208 — stosowanie mechanizmu oczyszczania multimediów Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0

Transport multimedialny

IDENTYFIKATOR: FedRAMP Moderate MP-5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Zarządzanie transportem zasobów CMA_0370 — zarządzanie transportem zasobów Ręczne, wyłączone 1.1.0

Ochrona kryptograficzna

IDENTYFIKATOR: FedRAMP Moderate MP-5 (4) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Zarządzanie transportem zasobów CMA_0370 — zarządzanie transportem zasobów Ręczne, wyłączone 1.1.0

Oczyszczanie multimediów

IDENTYFIKATOR: FedRAMP Moderate MP-6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Stosowanie mechanizmu oczyszczania multimediów CMA_0208 — stosowanie mechanizmu oczyszczania multimediów Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0

Testowanie sprzętu

IDENTYFIKATOR: FedRAMP Moderate MP-6 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Stosowanie mechanizmu oczyszczania multimediów CMA_0208 — stosowanie mechanizmu oczyszczania multimediów Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0

Korzystanie z multimediów

ID: FedRAMP Moderate MP-7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Kontrolowanie użycia przenośnych urządzeń magazynujących CMA_0083 — kontrolowanie użycia przenośnych urządzeń magazynujących Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ograniczanie użycia multimediów CMA_0450 — ograniczanie użycia multimediów Ręczne, wyłączone 1.1.0

Zakaz używania bez właściciela

IDENTYFIKATOR: FedRAMP Moderate MP-7 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Kontrolowanie użycia przenośnych urządzeń magazynujących CMA_0083 — kontrolowanie użycia przenośnych urządzeń magazynujących Ręczne, wyłączone 1.1.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Ograniczanie użycia multimediów CMA_0450 — ograniczanie użycia multimediów Ręczne, wyłączone 1.1.0

Ochrona fizyczna i środowiskowa

Polityka i procedury ochrony środowiska fizycznego i ochrony środowiska

ID: FedRAMP Moderate PE-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych CMA_C1446 — przegląd i aktualizowanie zasad i procedur fizycznych i środowiskowych Ręczne, wyłączone 1.1.0

Autoryzacje dostępu fizycznego

ID: FedRAMP Moderate PE-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kontrolowanie dostępu fizycznego CMA_0081 — kontrolowanie dostępu fizycznego Ręczne, wyłączone 1.1.0

Kontrola dostępu fizycznego

ID: FedRAMP Moderate PE-3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kontrolowanie dostępu fizycznego CMA_0081 — kontrolowanie dostępu fizycznego Ręczne, wyłączone 1.1.0
Definiowanie fizycznego procesu zarządzania kluczami CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami Ręczne, wyłączone 1.1.0
Ustanawianie i utrzymywanie spisu zasobów CMA_0266 — ustanawianie i utrzymywanie spisu zasobów Ręczne, wyłączone 1.1.0
Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów Ręczne, wyłączone 1.1.0

Kontrola dostępu do nośnika transmisji

IDENTYFIKATOR: FedRAMP Moderate PE-4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kontrolowanie dostępu fizycznego CMA_0081 — kontrolowanie dostępu fizycznego Ręczne, wyłączone 1.1.0
Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów Ręczne, wyłączone 1.1.0

Kontrola dostępu dla urządzeń wyjściowych

ID: FedRAMP Moderate PE-5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kontrolowanie dostępu fizycznego CMA_0081 — kontrolowanie dostępu fizycznego Ręczne, wyłączone 1.1.0
Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów Ręczne, wyłączone 1.1.0
Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych Ręczne, wyłączone 1.1.0

Alarmy włamań / Urządzenia nadzoru

IDENTYFIKATOR: FedRAMP Moderate PE-6 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Instalowanie systemu alarmowego CMA_0338 — instalowanie systemu alarmów Ręczne, wyłączone 1.1.0
Zarządzanie bezpiecznym systemem kamer monitoringu CMA_0354 — zarządzanie bezpiecznym systemem kamer monitoringu Ręczne, wyłączone 1.1.0

Rekordy dostępu gościa

ID: FedRAMP Moderate PE-8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kontrolowanie dostępu fizycznego CMA_0081 — kontrolowanie dostępu fizycznego Ręczne, wyłączone 1.1.0
Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów Ręczne, wyłączone 1.1.0

Oświetlenie awaryjne

IDENTYFIKATOR: FedRAMP Moderate PE-12 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Stosowanie automatycznego oświetlenia awaryjnego CMA_0209 — stosowanie automatycznego oświetlenia awaryjnego Ręczne, wyłączone 1.1.0

Ochrona przeciwpożarowa

IDENTYFIKATOR: FedRAMP Moderate PE-13 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów Ręczne, wyłączone 1.1.0

Pomijanie urządzeń/systemów

IDENTYFIKATOR: FedRAMP Moderate PE-13 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów Ręczne, wyłączone 1.1.0

Automatyczne tłumienie pożaru

IDENTYFIKATOR: FedRAMP Moderate PE-13 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów Ręczne, wyłączone 1.1.0

Kontrolki temperatury i wilgotności

ID: FedRAMP Moderate PE-14 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów Ręczne, wyłączone 1.1.0

Monitorowanie za pomocą alarmów/powiadomień

IDENTYFIKATOR: FedRAMP Moderate PE-14 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów Ręczne, wyłączone 1.1.0
Instalowanie systemu alarmowego CMA_0338 — instalowanie systemu alarmów Ręczne, wyłączone 1.1.0

Ochrona przed uszkodzeniem wody

ID: FedRAMP Moderate PE-15 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów CMA_0323 — implementowanie zabezpieczeń fizycznych dla biur, obszarów roboczych i bezpiecznych obszarów Ręczne, wyłączone 1.1.0

Dostarczanie i usuwanie

IDENTYFIKATOR: FedRAMP Moderate PE-16 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie wymagań dotyczących zarządzania zasobami CMA_0125 — definiowanie wymagań dotyczących zarządzania zasobami Ręczne, wyłączone 1.1.0
Zarządzanie transportem zasobów CMA_0370 — zarządzanie transportem zasobów Ręczne, wyłączone 1.1.0

Alternatywna witryna pracy

IDENTYFIKATOR: FedRAMP Moderate PE-17 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych CMA_0315 — implementowanie kontrolek w celu zabezpieczenia alternatywnych lokacji roboczych Ręczne, wyłączone 1.1.0

Planowanie

Zasady i procedury planowania zabezpieczeń

Identyfikator: FedRAMP Moderate PL-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeglądanie i aktualizowanie zasad i procedur planowania CMA_C1491 — przegląd i aktualizowanie zasad i procedur planowania Ręczne, wyłączone 1.1.0

Plan zabezpieczeń systemu

IDENTYFIKATOR: FedRAMP Moderate PL-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Opracowywanie i ustanawianie planu zabezpieczeń systemu CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu Ręczne, wyłączone 1.1.0
Opracowywanie zasad i procedur zabezpieczeń informacji CMA_0158 — Opracowywanie zasad i procedur zabezpieczeń informacji Ręczne, wyłączone 1.1.0
Opracowywanie dostawcy usług udostępnionych spełniających kryteria CMA_C1492 — opracowywanie dostawcy usług udostępnionych spełniających kryteria Ręczne, wyłączone 1.1.0
Ustanawianie programu ochrony prywatności CMA_0257 — ustanawianie programu ochrony prywatności Ręczne, wyłączone 1.1.0
Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń Ręczne, wyłączone 1.1.0
Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych Ręczne, wyłączone 1.1.0

Planowanie/koordynowanie z innymi jednostkami organizacyjnymi

IDENTYFIKATOR: FedRAMP Moderate PL-2 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Opracowywanie i ustanawianie planu zabezpieczeń systemu CMA_0151 — opracowywanie i ustanawianie planu zabezpieczeń systemu Ręczne, wyłączone 1.1.0
Ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń CMA_0279 — ustanawianie wymagań dotyczących zabezpieczeń dla produkcji połączonych urządzeń Ręczne, wyłączone 1.1.0
Implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych CMA_0325 — implementowanie zasad inżynierii zabezpieczeń systemów informacyjnych Ręczne, wyłączone 1.1.0

Reguły zachowania

IDENTYFIKATOR: FedRAMP Moderate PL-4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Opracowywanie akceptowalnych zasad i procedur użytkowania CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania Ręczne, wyłączone 1.1.0
Opracowywanie zasad postępowania w organizacji CMA_0159 — opracowywanie kodeksu postępowania organizacji Ręczne, wyłączone 1.1.0
Dokumentowanie akceptacji przez pracowników wymagań dotyczących prywatności CMA_0193 — dokumentowanie wymagań dotyczących prywatności przez personel Ręczne, wyłączone 1.1.0
Wymuszanie reguł zachowania i umów dotyczących dostępu CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu Ręczne, wyłączone 1.1.0
Zakaz nieuczciwych praktyk CMA_0396 — zakaz nieuczciwych praktyk Ręczne, wyłączone 1.1.0
Przeglądanie i podpisywanie poprawionych reguł zachowania CMA_0465 — przeglądanie i podpisywanie poprawionych reguł zachowania Ręczne, wyłączone 1.1.0
Aktualizowanie zasad zabezpieczeń informacji CMA_0518 — aktualizowanie zasad zabezpieczeń informacji Ręczne, wyłączone 1.1.0
Aktualizowanie reguł zachowania i umów dotyczących dostępu CMA_0521 — aktualizowanie reguł zachowania i umów dotyczących dostępu Ręczne, wyłączone 1.1.0
Aktualizowanie reguł zachowania i umów dotyczących dostępu co 3 lata CMA_0522 — aktualizowanie reguł zachowania i umów dotyczących dostępu co 3 lata Ręczne, wyłączone 1.1.0

Ograniczenia dotyczące mediów społecznościowych i sieci

IDENTYFIKATOR: FedRAMP Moderate PL-4 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Opracowywanie akceptowalnych zasad i procedur użytkowania CMA_0143 — Opracowywanie akceptowalnych zasad i procedur użytkowania Ręczne, wyłączone 1.1.0

Architektura zabezpieczeń informacji

IDENTYFIKATOR: FedRAMP Moderate PL-8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Opracowywanie koncepcji operacji (CONOPS) CMA_0141 — opracowywanie koncepcji operacji (CONOPS) Ręczne, wyłączone 1.1.0
Przeglądanie i aktualizowanie architektury zabezpieczeń informacji CMA_C1504 — przeglądanie i aktualizowanie architektury zabezpieczeń informacji Ręczne, wyłączone 1.1.0

Zabezpieczenia personelu

Zasady i procedury dotyczące zabezpieczeń personelu

ID: FedRAMP Moderate PS-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeglądanie i aktualizowanie zasad i procedur zabezpieczeń personelu CMA_C1507 — przegląd i aktualizowanie zasad i procedur zabezpieczeń personelu Ręczne, wyłączone 1.1.0

Oznaczenie ryzyka pozycji

ID: FedRAMP Moderate PS-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przypisywanie oznaczeń ryzyka CMA_0016 — przypisywanie oznaczeń ryzyka Ręczne, wyłączone 1.1.0

Badania przesiewowe personelu

ID: FedRAMP Moderate PS-3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wyczyść personel z dostępem do informacji niejawnych CMA_0054 — wyczyść personel z dostępem do informacji niejawnych Ręczne, wyłączone 1.1.0
Implementowanie kontroli personelu CMA_0322 — wdrażanie badań przesiewowych personelu Ręczne, wyłączone 1.1.0
Ponowne ekrany poszczególnych osób z zdefiniowaną częstotliwością CMA_C1512 — ponowne ekrany poszczególnych osób z zdefiniowaną częstotliwością Ręczne, wyłączone 1.1.0

Informacje ze specjalnymi środkami ochrony

IDENTYFIKATOR: FedRAMP Moderate PS-3 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0

Zakończenie pracy personelu

ID: FedRAMP Moderate PS-4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie rozmowy kwalifikacyjnej po zakończeniu CMA_0058 — Przeprowadzanie rozmowy kwalifikacyjnej po zakończeniu Ręczne, wyłączone 1.1.0
Wyłączanie wystawców uwierzytelnień po zakończeniu CMA_0169 — wyłączanie wystawców uwierzytelnień po zakończeniu Ręczne, wyłączone 1.1.0
Powiadamianie po zakończeniu lub przeniesieniu CMA_0381 — powiadom po zakończeniu lub przeniesieniu Ręczne, wyłączone 1.1.0
Ochrona przed kradzieżą danych i zapobieganie odejściu pracowników CMA_0398 — ochrona przed kradzieżą danych i zapobieganie kradzieży danych od pracowników Ręczne, wyłączone 1.1.0
Zachowywanie danych zakończonych użytkowników CMA_0455 — zachowywanie zakończonych danych użytkownika Ręczne, wyłączone 1.1.0

Transfer personelu

ID: FedRAMP Moderate PS-5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inicjowanie akcji przeniesienia lub ponownego przypisania CMA_0333 — inicjowanie akcji przeniesienia lub ponownego przypisania Ręczne, wyłączone 1.1.0
Modyfikowanie autoryzacji dostępu po przeniesieniu personelu CMA_0374 — modyfikowanie autoryzacji dostępu podczas przenoszenia personelu Ręczne, wyłączone 1.1.0
Powiadamianie po zakończeniu lub przeniesieniu CMA_0381 — powiadom po zakończeniu lub przeniesieniu Ręczne, wyłączone 1.1.0
Przeszacuj dostęp po przeniesieniu personelu CMA_0424 — przeszacuj dostęp po przeniesieniu personelu Ręczne, wyłączone 1.1.0

Umowy dotyczące dostępu

ID: FedRAMP Moderate PS-6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dokumentowanie umów dotyczących dostępu organizacji CMA_0192 — dokumentowanie umów dotyczących dostępu organizacji Ręczne, wyłączone 1.1.0
Wymuszanie reguł zachowania i umów dotyczących dostępu CMA_0248 — wymuszanie reguł zachowania i umów dotyczących dostępu Ręczne, wyłączone 1.1.0
Upewnij się, że umowy dostępu są podpisane lub zrezygnowane w odpowiednim czasie CMA_C1528 — zapewnianie podpisania lub rezygnacji umów dotyczących dostępu Ręczne, wyłączone 1.1.0
Wymaganie od użytkowników podpisania umowy dotyczącej dostępu CMA_0440 — wymaganie od użytkowników podpisania umowy dotyczącej dostępu Ręczne, wyłączone 1.1.0
Aktualizowanie umów dotyczących dostępu organizacji CMA_0520 — aktualizowanie umów dotyczących dostępu organizacji Ręczne, wyłączone 1.1.0

Zabezpieczenia personelu innych firm

ID: FedRAMP Moderate PS-7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dokumentowanie wymagań dotyczących zabezpieczeń personelu innych firm CMA_C1531 — dokumentowanie wymagań dotyczących zabezpieczeń personelu innych firm Ręczne, wyłączone 1.1.0
Ustanawianie wymagań dotyczących zabezpieczeń personelu innych firm CMA_C1529 — ustanawianie wymagań dotyczących zabezpieczeń personelu innych firm Ręczne, wyłączone 1.1.0
Monitorowanie zgodności dostawcy innej firmy CMA_C1533 — monitorowanie zgodności dostawcy innej firmy Ręczne, wyłączone 1.1.0
Wymagaj powiadomienia o przeniesieniu lub zakończeniu pracy personelu innej firmy CMA_C1532 — wymagaj powiadomienia o przeniesieniu lub zakończeniu pracy personelu innej firmy Ręczne, wyłączone 1.1.0
Wymaganie od dostawców innych firm zgodności z zasadami i procedurami zabezpieczeń personelu CMA_C1530 — wymagaj, aby dostawcy zewnętrzni byli zgodni z zasadami i procedurami zabezpieczeń personelu Ręczne, wyłączone 1.1.0

Sankcje personelu

ID: FedRAMP Moderate PS-8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wdrażanie formalnego procesu sankcji CMA_0317 — wdrażanie formalnego procesu sankcji Ręczne, wyłączone 1.1.0
Powiadamianie personelu o sankcjach CMA_0380 — powiadamianie personelu o sankcjach Ręczne, wyłączone 1.1.0

Ocena ryzyka

Zasady i procedury oceny ryzyka

IDENTYFIKATOR: FedRAMP Moderate RA-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeglądanie i aktualizowanie zasad i procedur oceny ryzyka CMA_C1537 — przegląd i aktualizowanie zasad i procedur oceny ryzyka Ręczne, wyłączone 1.1.0

Kategoryzacja zabezpieczeń

Identyfikator: FedRAMP Moderate RA-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kategoryzowanie informacji CMA_0052 — kategoryzowanie informacji Ręczne, wyłączone 1.1.0
Opracowywanie schematów klasyfikacji biznesowej CMA_0155 — opracowywanie schematów klasyfikacji biznesowej Ręczne, wyłączone 1.1.0
Upewnij się, że kategoryzacja zabezpieczeń została zatwierdzona CMA_C1540 — upewnij się, że kategoryzacja zabezpieczeń została zatwierdzona Ręczne, wyłączone 1.1.0
Przeglądanie działań i analiz etykiet CMA_0474 — przeglądanie działań i analiz etykiet Ręczne, wyłączone 1.1.0

Ocena ryzyka

Identyfikator: FedRAMP Moderate RA-3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie oceny ryzyka CMA_C1543 — przeprowadzanie oceny ryzyka Ręczne, wyłączone 1.1.0
Przeprowadzanie oceny ryzyka i rozpowszechnianie wyników CMA_C1544 — przeprowadzanie oceny ryzyka i rozpowszechnianie wyników Ręczne, wyłączone 1.1.0
Przeprowadzanie oceny ryzyka i dokumentowanie wyników CMA_C1542 — przeprowadzanie oceny ryzyka i dokumentowanie wyników Ręczne, wyłączone 1.1.0
Przeprowadzanie oceny ryzyka CMA_0388 — przeprowadzanie oceny ryzyka Ręczne, wyłączone 1.1.0

Skanowanie luk w zabezpieczeniach

Identyfikator: FedRAMP Moderate RA-5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. AuditIfNotExists, Disabled 3.0.0
Usługa Azure Defender for App Service powinna być włączona Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. AuditIfNotExists, Disabled 1.0.3
Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender dla usługi Key Vault powinna być włączona Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. AuditIfNotExists, Disabled 1.0.3
Usługa Azure Defender dla usługi Resource Manager powinna być włączona Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Usługa Azure Defender dla serwerów powinna być włączona Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. AuditIfNotExists, Disabled 1.0.3
Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2
Należy włączyć usługę Microsoft Defender for Containers Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. AuditIfNotExists, Disabled 1.0.0
Usługa Microsoft Defender for Storage powinna być włączona Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. AuditIfNotExists, Disabled 1.0.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0
Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. AuditIfNotExists, Disabled 4.1.0
Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach Ocena luk w zabezpieczeniach SQL skanuje bazę danych pod kątem luk w zabezpieczeniach i ujawnia wszelkie odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione poufne dane. Rozwiązanie znalezionych luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń bazy danych. AuditIfNotExists, Disabled 1.0.0
Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia AuditIfNotExists, Disabled 3.1.0
Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. AuditIfNotExists, Disabled 1.0.1
Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. AuditIfNotExists, Disabled 3.0.0
Ocena luk w zabezpieczeniach powinna być włączona w obszarach roboczych usługi Synapse Odnajdywanie, śledzenie i korygowanie potencjalnych luk w zabezpieczeniach przez skonfigurowanie cyklicznych skanów oceny luk w zabezpieczeniach SQL w obszarach roboczych usługi Synapse. AuditIfNotExists, Disabled 1.0.0

Aktualizowanie możliwości narzędzia

IDENTYFIKATOR: FedRAMP Moderate RA-5 (1) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Aktualizuj według częstotliwości / przed nowym skanowaniem / po zidentyfikowaniu

Identyfikator: FedRAMP Moderate RA-5 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Szerokość/głębokość pokrycia

IDENTYFIKATOR: FedRAMP Moderate RA-5 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Dostęp uprzywilejowany

IDENTYFIKATOR: FedRAMP Moderate RA-5 (5) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie uprzywilejowanego dostępu do wykonywania działań skanowania luk w zabezpieczeniach CMA_C1555 — implementowanie uprzywilejowanego dostępu do wykonywania działań skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0

Zautomatyzowane analizy trendów

IDENTYFIKATOR: FedRAMP Moderate RA-5 (6) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Obserwowanie słabych stron zabezpieczeń i zgłaszanie ich CMA_0384 — obserwowanie i zgłaszanie słabych stron zabezpieczeń Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Wykonywanie modelowania zagrożeń CMA_0392 — wykonywanie modelowania zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Przeglądanie historycznych dzienników inspekcji

IDENTYFIKATOR: FedRAMP Moderate RA-5 (8) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Inspekcja funkcji uprzywilejowanych CMA_0019 — przeprowadzanie inspekcji funkcji uprzywilejowanych Ręczne, wyłączone 1.1.0
Inspekcja stanu konta użytkownika CMA_0020 — inspekcja stanu konta użytkownika Ręczne, wyłączone 1.1.0
Korelowanie rekordów inspekcji CMA_0087 — korelowanie rekordów inspekcji Ręczne, wyłączone 1.1.0
Określanie zdarzeń z możliwością inspekcji CMA_0137 — określanie zdarzeń możliwych do inspekcji Ręczne, wyłączone 1.1.0
Ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania CMA_0277 — ustanawianie wymagań dotyczących przeglądu inspekcji i raportowania Ręczne, wyłączone 1.1.0
Integrowanie przeglądu inspekcji, analizy i raportowania CMA_0339 — integrowanie przeglądu inspekcji, analizy i raportowania Ręczne, wyłączone 1.1.0
Integrowanie usługi Cloud App Security z rozwiązaniem siem CMA_0340 — integrowanie usługi Cloud App Security z rozwiązaniem siem Ręczne, wyłączone 1.1.0
Przeglądanie dzienników aprowizacji kont CMA_0460 — przeglądanie dzienników aprowizacji kont Ręczne, wyłączone 1.1.0
Przeglądanie przypisań administratorów co tydzień CMA_0461 — cotygodniowe przeglądanie przypisań administratorów Ręczne, wyłączone 1.1.0
Przeglądanie danych inspekcji CMA_0466 — przeglądanie danych inspekcji Ręczne, wyłączone 1.1.0
Przegląd raportu tożsamości w chmurze — omówienie CMA_0468 — przegląd raportu tożsamości w chmurze — omówienie Ręczne, wyłączone 1.1.0
Przeglądanie kontrolowanych zdarzeń dostępu do folderów CMA_0471 — przegląd zdarzeń dostępu do kontrolowanych folderów Ręczne, wyłączone 1.1.0
Przegląd zdarzeń ochrony przed programami wykorzystującym luki w zabezpieczeniach CMA_0472 — przegląd zdarzeń ochrony przed programami wykorzystującym luki w zabezpieczeniach Ręczne, wyłączone 1.1.0
Przeglądanie działania plików i folderów CMA_0473 — przeglądanie działania plików i folderów Ręczne, wyłączone 1.1.0
Przeglądanie zmian w grupie ról co tydzień CMA_0476 — przegląd zmian grupy ról co tydzień Ręczne, wyłączone 1.1.0

Pozyskiwanie systemów i usług

Zasady i procedury pozyskiwania systemów i usług

Identyfikator: FedRAMP Moderate SA-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług CMA_C1560 — przegląd i aktualizowanie zasad i procedur pozyskiwania systemów i usług Ręczne, wyłączone 1.1.0

Alokacja zasobów

ID: FedRAMP Moderate SA-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dopasowywanie celów biznesowych i celów IT CMA_0008 — dostosowywanie celów biznesowych i celów IT Ręczne, wyłączone 1.1.0
Przydzielanie zasobów w określaniu wymagań systemowych dotyczących informacji CMA_C1561 — przydzielanie zasobów w określaniu wymagań systemowych informacji Ręczne, wyłączone 1.1.0
Ustanawianie odrębnego elementu wiersza w dokumentacji budżetowania CMA_C1563 — ustanawianie odrębnego elementu wiersza w dokumentacji budżetowania Ręczne, wyłączone 1.1.0
Ustanawianie programu ochrony prywatności CMA_0257 — ustanawianie programu ochrony prywatności Ręczne, wyłączone 1.1.0
Zarządzanie alokacją zasobów CMA_0293 — zarządzanie alokacją zasobów Ręczne, wyłączone 1.1.0
Bezpieczne zaangażowanie ze strony kierownictwa CMA_0489 — bezpieczne zaangażowanie ze strony kierownictwa Ręczne, wyłączone 1.1.0

Cykl życia programowania systemu

IDENTYFIKATOR: FedRAMP Moderate SA-3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie ról i obowiązków dotyczących zabezpieczeń informacji CMA_C1565 — definiowanie ról i obowiązków dotyczących zabezpieczeń informacji Ręczne, wyłączone 1.1.0
Identyfikowanie osób z rolami i obowiązkami zabezpieczeń CMA_C1566 — identyfikowanie osób z rolami i obowiązkami zabezpieczeń Ręczne, wyłączone 1.1.1
Integrowanie procesu zarządzania ryzykiem z pakietem SDLC CMA_C1567 — integrowanie procesu zarządzania ryzykiem z sdLC Ręczne, wyłączone 1.1.0

Proces pozyskiwania

Identyfikator: FedRAMP Moderate SA-4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Określanie zobowiązań dotyczących umowy dostawcy CMA_0140 — określanie zobowiązań dotyczących umowy dostawcy Ręczne, wyłączone 1.1.0
Kryteria akceptacji kontraktu pozyskiwania dokumentów CMA_0187 — kryteria akceptacji kontraktu pozyskiwania dokumentów Ręczne, wyłączone 1.1.0
Dokument ochrony danych osobowych w umowach nabycia CMA_0194 — Dokument ochrony danych osobowych w umowach nabycia Ręczne, wyłączone 1.1.0
Dokumentowanie ochrony informacji zabezpieczających w kontraktach pozyskiwania CMA_0195 — ochrona informacji zabezpieczających w umowach nabycia Ręczne, wyłączone 1.1.0
Wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach CMA_0197 — wymagania dotyczące dokumentu dotyczące używania udostępnionych danych w kontraktach Ręczne, wyłączone 1.1.0
Dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia CMA_0199 — dokumentowanie wymagań dotyczących zapewniania bezpieczeństwa w kontraktach nabycia Ręczne, wyłączone 1.1.0
Dokumentowanie wymagań dotyczących dokumentacji zabezpieczeń w umowie pozyskiwania CMA_0200 — wymagania dotyczące dokumentacji zabezpieczeń dokumentów w umowie pozyskiwania Ręczne, wyłączone 1.1.0
Dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania CMA_0201 — dokumentowanie wymagań funkcjonalnych dotyczących zabezpieczeń w kontraktach pozyskiwania Ręczne, wyłączone 1.1.0
Dokumentowanie wymagań dotyczących siły zabezpieczeń w kontraktach nabycia CMA_0203 — dokumentowanie wymagań dotyczących siły zabezpieczeń w umowach nabycia Ręczne, wyłączone 1.1.0
Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania Ręczne, wyłączone 1.1.0
Dokumentowanie ochrony danych posiadaczy kart w umowach innych firm CMA_0207 — dokumentowanie ochrony danych posiadaczy kart w umowach innych firm Ręczne, wyłączone 1.1.0

Właściwości funkcjonalne mechanizmów kontroli zabezpieczeń

IDENTYFIKATOR: FedRAMP Moderate SA-4 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Uzyskiwanie właściwości funkcjonalnych mechanizmów kontroli zabezpieczeń CMA_C1575 — uzyskiwanie właściwości funkcjonalnych mechanizmów kontroli zabezpieczeń Ręczne, wyłączone 1.1.0

Informacje o projekcie/implementacji dla mechanizmów kontroli zabezpieczeń

IDENTYFIKATOR: FedRAMP Moderate SA-4 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Uzyskiwanie informacji o projekcie i implementacji mechanizmów kontroli zabezpieczeń CMA_C1576 — uzyskiwanie informacji o projekcie i implementacji mechanizmów kontroli zabezpieczeń Ręczne, wyłączone 1.1.1

Plan ciągłego monitorowania

ID: FedRAMP Moderate SA-4 (8) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Uzyskiwanie planu ciągłego monitorowania dla mechanizmów kontroli zabezpieczeń CMA_C1577 — uzyskiwanie planu ciągłego monitorowania mechanizmów kontroli zabezpieczeń Ręczne, wyłączone 1.1.0

Funkcje / porty / protokoły / usługi używane

IDENTYFIKATOR: FedRAMP Moderate SA-4 (9) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wymagaj od dewelopera identyfikowania portów, protokołów i usług SDLC CMA_C1578 — wymagaj od dewelopera identyfikowania portów, protokołów i usług SDLC Ręczne, wyłączone 1.1.0

Korzystanie z zatwierdzonych produktów Piv

IDENTYFIKATOR: FedRAMP Moderate SA-4 (10) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Stosowanie technologii zatwierdzonych przez standard FIPS 201 dla piV CMA_C1579 — stosowanie technologii zatwierdzonej przez standard FIPS 201 dla piV Ręczne, wyłączone 1.1.0

Dokumentacja systemu informacyjnego

Identyfikator: FedRAMP Moderate SA-5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dokumentacja rozproszonego systemu informacyjnego CMA_C1584 — dokumentacja rozproszonego systemu informacyjnego Ręczne, wyłączone 1.1.0
Dokumentowanie akcji zdefiniowanych przez klienta CMA_C1582 — dokumentowanie akcji zdefiniowanych przez klienta Ręczne, wyłączone 1.1.0
Uzyskiwanie dokumentacji administratora CMA_C1580 — uzyskiwanie dokumentacji administratora Ręczne, wyłączone 1.1.0
Uzyskiwanie dokumentacji funkcji zabezpieczeń użytkownika CMA_C1581 — uzyskiwanie dokumentacji funkcji zabezpieczeń użytkownika Ręczne, wyłączone 1.1.0
Ochrona dokumentacji administratora i użytkownika CMA_C1583 — ochrona dokumentacji administratora i użytkownika Ręczne, wyłączone 1.1.0

Zewnętrzne usługi systemu informacyjnego

Identyfikator: FedRAMP Moderate SA-9 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie i dokumentowanie nadzoru rządu CMA_C1587 — definiowanie i dokumentowanie nadzoru rządu Ręczne, wyłączone 1.1.0
Wymaganie, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń CMA_C1586 — wymagaj, aby zewnętrzni dostawcy usług spełnili wymagania dotyczące zabezpieczeń Ręczne, wyłączone 1.1.0
Przeglądanie zgodności dostawcy usług w chmurze z zasadami i umowami CMA_0469 — przegląd zgodności dostawcy usług w chmurze z zasadami i umowami Ręczne, wyłączone 1.1.0
Poddawanie niezależnemu przeglądowi zabezpieczeń CMA_0515 — przechodzi niezależny przegląd zabezpieczeń Ręczne, wyłączone 1.1.0

Oceny ryzyka / zatwierdzenia organizacyjne

Identyfikator: FedRAMP Moderate SA-9 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ocena ryzyka w relacjach innych firm CMA_0014 — ocena ryzyka w relacjach innych firm Ręczne, wyłączone 1.1.0
Uzyskiwanie zatwierdzeń na potrzeby przejęć i outsourcingu CMA_C1590 — uzyskiwanie zatwierdzeń na potrzeby przejęć i outsourcingu Ręczne, wyłączone 1.1.0

Identyfikacja funkcji / portów / protokołów / usług

IDENTYFIKATOR: FedRAMP Moderate SA-9 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Identyfikowanie zewnętrznych dostawców usług CMA_C1591 — identyfikowanie zewnętrznych dostawców usług Ręczne, wyłączone 1.1.0

Spójne interesy konsumentów i dostawców

IDENTYFIKATOR: FedRAMP Moderate SA-9 (4) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zapewnianie, że zewnętrzni dostawcy spójnie spełniają interesy klientów CMA_C1592 — zapewnienie, że zewnętrzni dostawcy konsekwentnie spełniają interesy klientów Ręczne, wyłączone 1.1.0

Przetwarzanie, magazynowanie i lokalizacja usługi

Identyfikator: FedRAMP Moderate SA-9 (5) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ograniczanie lokalizacji przetwarzania informacji, magazynowania i usług CMA_C1593 — ograniczanie lokalizacji przetwarzania informacji, magazynowania i usług Ręczne, wyłączone 1.1.0

Zarządzanie konfiguracją dla deweloperów

Identyfikator: FedRAMP Moderate SA-10 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Rozwiązywanie problemów z kodowaniem CMA_0003 — rozwiązywanie problemów z kodowaniem Ręczne, wyłączone 1.1.0
Opracowywanie i dokumentowanie wymagań dotyczących zabezpieczeń aplikacji CMA_0148 — opracowywanie i dokumentowanie wymagań dotyczących zabezpieczeń aplikacji Ręczne, wyłączone 1.1.0
Dokumentowanie środowiska systemu informacyjnego w kontraktach nabycia CMA_0205 — dokumentowanie środowiska systemu informacyjnego w kontraktach pozyskiwania Ręczne, wyłączone 1.1.0
Ustanawianie bezpiecznego programu programistycznego CMA_0259 — ustanawianie bezpiecznego programu tworzenia oprogramowania Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0
Wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu CMA_C1597 — wymaganie od deweloperów dokumentowania zatwierdzonych zmian i potencjalnego wpływu Ręczne, wyłączone 1.1.0
Wymagaj od deweloperów implementowania tylko zatwierdzonych zmian CMA_C1596 — wymagaj od deweloperów implementowania tylko zatwierdzonych zmian Ręczne, wyłączone 1.1.0
Wymaganie od deweloperów zarządzania integralnością zmian CMA_C1595 — wymagaj od deweloperów zarządzania integralnością zmian Ręczne, wyłączone 1.1.0

Weryfikacja integralności oprogramowania/oprogramowania układowego

IDENTYFIKATOR: FedRAMP Moderate SA-10 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji Ręczne, wyłączone 1.1.0

Testowanie i ocena zabezpieczeń dla deweloperów

Identyfikator: FedRAMP Moderate SA-11 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0
Wymaganie od deweloperów przedstawienia dowodów wykonania planu oceny zabezpieczeń CMA_C1602 — wymaganie od deweloperów przedstawienia dowodów wykonania planu oceny zabezpieczeń Ręczne, wyłączone 1.1.0

Ochrona systemu i komunikacji

Zasady i procedury ochrony systemu i komunikacji

Identyfikator: FedRAMP Moderate SC-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeglądanie i aktualizowanie zasad i procedur ochrony systemu i komunikacji CMA_C1616 — przegląd i aktualizowanie zasad i procedur ochrony systemu i komunikacji Ręczne, wyłączone 1.1.0

Partycjonowanie aplikacji

Identyfikator: FedRAMP Moderate SC-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie dostępu zdalnego CMA_0024 — autoryzowanie dostępu zdalnego Ręczne, wyłączone 1.1.0
Oddzielne funkcje zarządzania użytkownikami i systemem informacyjnym CMA_0493 — oddzielne funkcje zarządzania użytkownikami i systemem informacji Ręczne, wyłączone 1.1.0
Używanie dedykowanych maszyn do zadań administracyjnych CMA_0527 — używanie dedykowanych maszyn do zadań administracyjnych Ręczne, wyłączone 1.1.0

Odmowa ochrony usługi

Identyfikator: FedRAMP Moderate SC-5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Azure DDoS Protection powinna być włączona Ochrona przed atakami DDoS powinna być włączona dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP. AuditIfNotExists, Disabled 3.0.1
Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. Inspekcja, Odmowa, Wyłączone 1.0.2
Opracowywanie i dokumentowanie planu odpowiedzi DDoS CMA_0147 — opracowywanie i dokumentowanie planu odpowiedzi DDoS Ręczne, wyłączone 1.1.0
Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. AuditIfNotExists, Disabled 3.0.0
Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. Inspekcja, Odmowa, Wyłączone 2.0.0

Dostępność zasobów

Identyfikator: FedRAMP Moderate SC-6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zarządzanie alokacją zasobów CMA_0293 — zarządzanie alokacją zasobów Ręczne, wyłączone 1.1.0
Zarządzanie dostępnością i pojemnością CMA_0356 — zarządzanie dostępnością i pojemnością Ręczne, wyłączone 1.1.0
Bezpieczne zaangażowanie ze strony kierownictwa CMA_0489 — bezpieczne zaangażowanie ze strony kierownictwa Ręczne, wyłączone 1.1.0

Ochrona granic

Identyfikator: FedRAMP Moderate SC-7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Przestarzałe]: Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Inspekcja, wyłączone 1.0.1 — przestarzałe
[Przestarzałe]: Usługi Cognitive Services powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. Inspekcja, wyłączone 3.0.1 — przestarzałe
[Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji AuditIfNotExists, Disabled 3.0.0-preview
[Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 3.1.0-preview
Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. AuditIfNotExists, Disabled 3.0.0
Usługi API Management powinny używać sieci wirtualnej Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby był dostępny z Internetu lub tylko w sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 1.0.2
Usługa App Configuration powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. Inspekcja, wyłączone 2.0.1
Zasoby usług Azure AI Services powinny ograniczać dostęp do sieci Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. Inspekcja, Odmowa, Wyłączone 3.2.0
Interfejs API platformy Azure dla standardu FHIR powinien używać łącza prywatnego Interfejs API platformy Azure dla standardu FHIR powinien mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. Aby uzyskać więcej informacji, odwiedź stronę: https://aka.ms/fhir-privatelink. Inspekcja, wyłączone 1.0.0
Usługa Azure Cache for Redis powinna używać łącza prywatnego Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Inspekcja, Odmowa, Wyłączone 1.0.0
Usługa Azure Cognitive usługa wyszukiwania powinna wyłączyć dostęp do sieci publicznej Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cognitive usługa wyszukiwania nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługa wyszukiwania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Inspekcja, Odmowa, Wyłączone 1.0.0
Konta usługi Azure Cosmos DB powinny mieć reguły zapory Reguły zapory powinny być zdefiniowane na kontach usługi Azure Cosmos DB, aby uniemożliwić ruch z nieautoryzowanych źródeł. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne. Inspekcja, Odmowa, Wyłączone 2.1.0
Usługa Azure Data Factory powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Domeny usługi Azure Event Grid powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. Inspekcja, wyłączone 1.0.2
Tematy usługi Azure Event Grid powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. Inspekcja, wyłączone 1.0.2
Usługa Azure File Sync powinna używać łącza prywatnego Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. AuditIfNotExists, Disabled 1.0.0
Usługa Azure Key Vault powinna mieć włączoną zaporę Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security Inspekcja, Odmowa, Wyłączone 3.2.1
Usługa Azure Key Vault powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Obszary robocze usługi Azure Machine Learning powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszarów roboczych usługi Azure Machine Learning, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Inspekcja, wyłączone 1.0.0
Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Usługa Azure SignalR Service powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. Inspekcja, wyłączone 1.0.0
Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Inspekcja, wyłączone 1.0.1
Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. Inspekcja, Odmowa, Wyłączone 1.0.2
Usługa Azure Web PubSub powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. Inspekcja, wyłączone 1.0.0
Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci Rejestry kontenerów platformy Azure domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych prywatnych punktów końcowych, publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma skonfigurowanych reguł sieciowych, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry tutaj: https://aka.ms/acr/privatelinki https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Inspekcja, Odmowa, Wyłączone 2.0.0
Rejestry kontenerów powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. Inspekcja, wyłączone 1.0.1
Konta usługi CosmosDB powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Inspekcja, wyłączone 1.0.0
Zasoby dostępu do dysku powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Implementowanie ochrony granic systemu CMA_0328 — implementowanie ochrony granic systemu Ręczne, wyłączone 1.1.0
Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. Inspekcja, wyłączone 1.0.0
Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. AuditIfNotExists, Disabled 3.0.0
Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami AuditIfNotExists, Disabled 3.0.0
Porty zarządzania powinny być zamknięte na maszynach wirtualnych Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. AuditIfNotExists, Disabled 3.0.0
Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. Inspekcja, wyłączone 1.1.0
Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Prywatny punkt końcowy powinien być włączony dla serwerów MySQL Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 1.1.0
Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MariaDB można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 2.0.0
Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MySQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 2.0.0
Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for PostgreSQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp z dowolnej publicznej przestrzeni adresowej poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 2.0.1
Konta magazynu powinny ograniczać dostęp sieciowy Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych Inspekcja, Odmowa, Wyłączone 1.1.1
Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. Inspekcja, Odmowa, Wyłączone 1.0.1
Konta magazynu powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. AuditIfNotExists, Disabled 3.0.0
Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Inspekcja, Wyłączone, Odmowa 1.1.0
Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. Inspekcja, Odmowa, Wyłączone 2.0.0

Punkty dostępu

Identyfikator: FedRAMP Moderate SC-7 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Przestarzałe]: Usługa Azure Cognitive usługa wyszukiwania s powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Cognitive Search, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Inspekcja, wyłączone 1.0.1 — przestarzałe
[Przestarzałe]: Usługi Cognitive Services powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługi Cognitive Services, zmniejszysz potencjał wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://go.microsoft.com/fwlink/?linkid=2129800. Inspekcja, wyłączone 3.0.1 — przestarzałe
[Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji AuditIfNotExists, Disabled 3.0.0-preview
[Wersja zapoznawcza]: dostęp publiczny do konta magazynu powinien być niedozwolony Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 3.1.0-preview
Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. AuditIfNotExists, Disabled 3.0.0
Usługi API Management powinny używać sieci wirtualnej Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby był dostępny z Internetu lub tylko w sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 1.0.2
Usługa App Configuration powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. Inspekcja, wyłączone 2.0.1
Zasoby usług Azure AI Services powinny ograniczać dostęp do sieci Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. Inspekcja, Odmowa, Wyłączone 3.2.0
Interfejs API platformy Azure dla standardu FHIR powinien używać łącza prywatnego Interfejs API platformy Azure dla standardu FHIR powinien mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. Aby uzyskać więcej informacji, odwiedź stronę: https://aka.ms/fhir-privatelink. Inspekcja, wyłączone 1.0.0
Usługa Azure Cache for Redis powinna używać łącza prywatnego Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Usługa Azure Cognitive usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne W przypadku obsługiwanych jednostek SKU usługi Azure Cognitive Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługa wyszukiwania, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Inspekcja, Odmowa, Wyłączone 1.0.0
Usługa Azure Cognitive usługa wyszukiwania powinna wyłączyć dostęp do sieci publicznej Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cognitive usługa wyszukiwania nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługa wyszukiwania. Dowiedz się więcej na stronie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Inspekcja, Odmowa, Wyłączone 1.0.0
Konta usługi Azure Cosmos DB powinny mieć reguły zapory Reguły zapory powinny być zdefiniowane na kontach usługi Azure Cosmos DB, aby uniemożliwić ruch z nieautoryzowanych źródeł. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne. Inspekcja, Odmowa, Wyłączone 2.1.0
Usługa Azure Data Factory powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Domeny usługi Azure Event Grid powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. Inspekcja, wyłączone 1.0.2
Tematy usługi Azure Event Grid powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. Inspekcja, wyłączone 1.0.2
Usługa Azure File Sync powinna używać łącza prywatnego Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. AuditIfNotExists, Disabled 1.0.0
Usługa Azure Key Vault powinna mieć włączoną zaporę Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security Inspekcja, Odmowa, Wyłączone 3.2.1
Usługa Azure Key Vault powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Obszary robocze usługi Azure Machine Learning powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszarów roboczych usługi Azure Machine Learning, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Inspekcja, wyłączone 1.0.0
Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Usługa Azure SignalR Service powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. Inspekcja, wyłączone 1.0.0
Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Inspekcja, wyłączone 1.0.1
Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. Inspekcja, Odmowa, Wyłączone 1.0.2
Usługa Azure Web PubSub powinna używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/awps/privatelink. Inspekcja, wyłączone 1.0.0
Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci Rejestry kontenerów platformy Azure domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych prywatnych punktów końcowych, publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma skonfigurowanych reguł sieciowych, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry tutaj: https://aka.ms/acr/privatelinki https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. Inspekcja, Odmowa, Wyłączone 2.0.0
Rejestry kontenerów powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. Inspekcja, wyłączone 1.0.1
Konta usługi CosmosDB powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Inspekcja, wyłączone 1.0.0
Zasoby dostępu do dysku powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/iotdpsvnet. Inspekcja, wyłączone 1.0.0
Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. AuditIfNotExists, Disabled 3.0.0
Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami AuditIfNotExists, Disabled 3.0.0
Porty zarządzania powinny być zamknięte na maszynach wirtualnych Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. AuditIfNotExists, Disabled 3.0.0
Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. Inspekcja, wyłączone 1.1.0
Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Prywatny punkt końcowy powinien być włączony dla serwerów MySQL Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. AuditIfNotExists, Disabled 1.0.2
Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 1.1.0
Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MariaDB można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 2.0.0
Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MySQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 2.0.0
Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for PostgreSQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp z dowolnej publicznej przestrzeni adresowej poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Inspekcja, Odmowa, Wyłączone 2.0.1
Konta magazynu powinny ograniczać dostęp sieciowy Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych Inspekcja, Odmowa, Wyłączone 1.1.1
Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. Inspekcja, Odmowa, Wyłączone 1.0.1
Konta magazynu powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. AuditIfNotExists, Disabled 3.0.0
Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Inspekcja, Wyłączone, Odmowa 1.1.0
Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. Inspekcja, Odmowa, Wyłączone 2.0.0

Zewnętrzne usługi telekomunikacyjne

Identyfikator: FedRAMP Moderate SC-7 (4) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie interfejsu zarządzanego dla każdej usługi zewnętrznej CMA_C1626 — implementowanie interfejsu zarządzanego dla każdej usługi zewnętrznej Ręczne, wyłączone 1.1.0
Implementowanie ochrony granic systemu CMA_0328 — implementowanie ochrony granic systemu Ręczne, wyłączone 1.1.0
Zabezpieczanie interfejsu z systemami zewnętrznymi CMA_0491 — zabezpieczanie interfejsu z systemami zewnętrznymi Ręczne, wyłączone 1.1.0

Zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych

Identyfikator: FedRAMP Moderate SC-7 (7) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych CMA_C1632 — zapobieganie tunelowaniu podzielonemu dla urządzeń zdalnych Ręczne, wyłączone 1.1.0

Kierowanie ruchu do uwierzytelnionych serwerów proxy

Identyfikator: FedRAMP Moderate SC-7 (8) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kierowanie ruchu za pośrednictwem uwierzytelnionej sieci serwera proxy CMA_C1633 — kierowanie ruchu za pośrednictwem uwierzytelnionej sieci serwera proxy Ręczne, wyłączone 1.1.0

Ochrona oparta na hoście

IDENTYFIKATOR: FedRAMP Moderate SC-7 (12) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie ochrony granic systemu CMA_0328 — implementowanie ochrony granic systemu Ręczne, wyłączone 1.1.0

Izolacja narzędzi zabezpieczeń / mechanizmów / składników pomocy technicznej

IDENTYFIKATOR: FedRAMP Moderate SC-7 (13) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Izolowanie systemów SecurID, systemów zarządzania zdarzeniami zabezpieczeń CMA_C1636 — izolowanie systemów SecurID, systemów zarządzania zdarzeniami zabezpieczeń Ręczne, wyłączone 1.1.0

Zabezpieczanie niepowodzeniem

IDENTYFIKATOR: FedRAMP Moderate SC-7 (18) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie ochrony granic systemu CMA_0328 — implementowanie ochrony granic systemu Ręczne, wyłączone 1.1.0
Zarządzanie transferami między składnikami rezerwowymi i aktywnymi systemowymi CMA_0371 — zarządzanie transferami między składnikami rezerwowymi i aktywnymi systemowymi Ręczne, wyłączone 1.1.0

Poufność i integralność transmisji

Identyfikator: FedRAMP Moderate SC-8 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. Inspekcja, Wyłączone, Odmowa 4.0.0
Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. AuditIfNotExists, Disabled 3.0.0
Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. AuditIfNotExists, Disabled 2.1.0
Klastry usługi Azure HDInsight powinny używać szyfrowania podczas przesyłania do szyfrowania komunikacji między węzłami klastra usługi Azure HDInsight Dane można manipulować podczas transmisji między węzłami klastra usługi Azure HDInsight. Włączenie szyfrowania podczas przesyłania rozwiązuje problemy z nieprawidłowym użyciem i manipulowaniem podczas tej transmisji. Inspekcja, Odmowa, Wyłączone 1.0.0
Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. Inspekcja, wyłączone 1.0.1
Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. Inspekcja, wyłączone 1.0.1
Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. Inspekcja, Wyłączone, Odmowa 5.0.0
Aplikacje funkcji powinny wymagać tylko protokołu FTPS Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. AuditIfNotExists, Disabled 3.0.0
Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. AuditIfNotExists, Disabled 2.1.0
Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 8.2.0
Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji Inspekcja, Odmowa, Wyłączone 1.0.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Ochrona haseł za pomocą szyfrowania CMA_0408 — ochrona haseł za pomocą szyfrowania Ręczne, wyłączone 1.1.0
Bezpieczny transfer do kont magazynu powinien być włączony Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji Inspekcja, Odmowa, Wyłączone 2.0.0
Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. AuditIfNotExists, Disabled 4.1.1

Kryptograficzna lub alternatywna ochrona fizyczna

Identyfikator: FedRAMP Moderate SC-8 (1) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. Inspekcja, Wyłączone, Odmowa 4.0.0
Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. AuditIfNotExists, Disabled 3.0.0
Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. AuditIfNotExists, Disabled 2.1.0
Klastry usługi Azure HDInsight powinny używać szyfrowania podczas przesyłania do szyfrowania komunikacji między węzłami klastra usługi Azure HDInsight Dane można manipulować podczas transmisji między węzłami klastra usługi Azure HDInsight. Włączenie szyfrowania podczas przesyłania rozwiązuje problemy z nieprawidłowym użyciem i manipulowaniem podczas tej transmisji. Inspekcja, Odmowa, Wyłączone 1.0.0
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych Ręczne, wyłączone 1.1.0
Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. Inspekcja, wyłączone 1.0.1
Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. Inspekcja, wyłączone 1.0.1
Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. Inspekcja, Wyłączone, Odmowa 5.0.0
Aplikacje funkcji powinny wymagać tylko protokołu FTPS Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. AuditIfNotExists, Disabled 3.0.0
Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. AuditIfNotExists, Disabled 2.1.0
Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 8.2.0
Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji Inspekcja, Odmowa, Wyłączone 1.0.0
Bezpieczny transfer do kont magazynu powinien być włączony Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji Inspekcja, Odmowa, Wyłączone 2.0.0
Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. AuditIfNotExists, Disabled 4.1.1

Rozłączanie sieci

Identyfikator: FedRAMP Moderate SC-10 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ponowne uwierzytelnianie lub kończenie sesji użytkownika CMA_0421 — ponowne uwierzytelnianie lub kończenie sesji użytkownika Ręczne, wyłączone 1.1.0

Kryptograficzne tworzenie i zarządzanie kluczami kryptograficznymi

IDENTYFIKATOR: FedRAMP Moderate SC-12 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: Magazyny usługi Azure Recovery Services powinny używać kluczy zarządzanych przez klienta do szyfrowania danych kopii zapasowej Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem przechowywanym w danych kopii zapasowej. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/AB-CmkEncryption. Inspekcja, Odmowa, Wyłączone 1.0.0-preview
[Wersja zapoznawcza]: dane usługi IoT Hub device provisioning powinny być szyfrowane przy użyciu kluczy zarządzanych przez klienta (CMK) Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi aprowizacji urządzeń usługi IoT Hub. Dane są automatycznie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta (CMK) są zwykle wymagane do spełnienia standardów zgodności z przepisami. Zestawy CMKs umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Dowiedz się więcej o szyfrowaniu klucza zarządzanego przez klienta na stronie https://aka.ms/dps/CMK. Inspekcja, Odmowa, Wyłączone 1.0.0-preview
Zasoby usług Azure AI Services powinny szyfrować dane magazynowane przy użyciu klucza zarządzanego przez klienta (CMK) Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta zapewnia większą kontrolę nad cyklem życia klucza, w tym rotacją i zarządzaniem. Jest to szczególnie istotne dla organizacji z powiązanymi wymaganiami dotyczącymi zgodności. Nie jest to domyślnie oceniane i powinno być stosowane tylko wtedy, gdy są wymagane przez wymagania dotyczące zgodności lub restrykcyjnych zasad. Jeśli nie zostanie włączona, dane będą szyfrowane przy użyciu kluczy zarządzanych przez platformę. Aby to zaimplementować, zaktualizuj parametr "Effect" w zasadach zabezpieczeń dla odpowiedniego zakresu. Inspekcja, Odmowa, Wyłączone 2.2.0
Interfejs API platformy Azure dla standardu FHIR powinien używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych Użyj klucza zarządzanego przez klienta, aby kontrolować szyfrowanie danych przechowywanych w usłudze Azure API for FHIR, gdy jest to wymaganie dotyczące przepisów lub zgodności. Klucze zarządzane przez klienta zapewniają również podwójne szyfrowanie, dodając drugą warstwę szyfrowania na podstawie domyślnego klucza zarządzanego przez usługę. inspekcja, inspekcja, wyłączona, wyłączona 1.1.0
Konta usługi Azure Automation powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku kont usługi Azure Automation. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/automation-cmk. Inspekcja, Odmowa, Wyłączone 1.0.0
Konto usługi Azure Batch powinno używać kluczy zarządzanych przez klienta do szyfrowania danych Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych danych konta usługi Batch. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/Batch-CMK. Inspekcja, Odmowa, Wyłączone 1.0.1
Grupa kontenerów usługi Azure Container Instance powinna używać klucza zarządzanego przez klienta do szyfrowania Zabezpieczanie kontenerów dzięki większej elastyczności przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. Inspekcja, Wyłączone, Odmowa 1.0.0
Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi Azure Cosmos DB. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/cosmosdb-cmk. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 1.1.0
Zadania usługi Azure Data Box powinny używać klucza zarządzanego przez klienta do szyfrowania hasła odblokowywania urządzenia Użyj klucza zarządzanego przez klienta, aby kontrolować szyfrowanie hasła odblokowywania urządzenia dla urządzenia Azure Data Box. Klucze zarządzane przez klienta ułatwiają również zarządzanie dostępem do hasła odblokowywania urządzenia przez usługę Data Box, aby przygotować urządzenie i skopiować dane w zautomatyzowany sposób. Dane na samym urządzeniu są już szyfrowane w spoczynku przy użyciu szyfrowania Advanced Encryption Standard 256-bitowego, a hasło odblokowywania urządzenia jest domyślnie szyfrowane przy użyciu klucza zarządzanego przez firmę Microsoft. Inspekcja, Odmowa, Wyłączone 1.0.0
Szyfrowanie magazynowane w usłudze Azure Data Explorer powinno używać klucza zarządzanego przez klienta Włączenie szyfrowania magazynowanych przy użyciu klucza zarządzanego przez klienta w klastrze usługi Azure Data Explorer zapewnia dodatkową kontrolę nad kluczem używanym przez szyfrowanie magazynowane. Ta funkcja jest często stosowana do klientów z specjalnymi wymaganiami dotyczącymi zgodności i wymaga usługi Key Vault do zarządzania kluczami. Inspekcja, Odmowa, Wyłączone 1.0.0
Fabryki danych platformy Azure powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi Azure Data Factory. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/adf-cmk. Inspekcja, Odmowa, Wyłączone 1.0.1
Klastry usługi Azure HDInsight powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych klastrów usługi Azure HDInsight. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/hdi.cmk. Inspekcja, Odmowa, Wyłączone 1.0.1
Klastry usługi Azure HDInsight powinny używać szyfrowania na hoście do szyfrowania danych magazynowanych Włączenie szyfrowania na hoście pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu szyfrowania na hoście dane przechowywane na hoście maszyny wirtualnej są szyfrowane w spoczynku i przepływy szyfrowane w usłudze Storage. Inspekcja, Odmowa, Wyłączone 1.0.0
Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta Zarządzanie szyfrowaniem magazynowanych danych obszaru roboczego usługi Azure Machine Learning przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/azureml-workspaces-cmk. Inspekcja, Odmowa, Wyłączone 1.1.0
Klastry dzienników usługi Azure Monitor powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta Tworzenie klastra dzienników usługi Azure Monitor przy użyciu szyfrowania kluczy zarządzanych przez klienta. Domyślnie dane dziennika są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia wymagań zgodności z przepisami. Klucz zarządzany przez klienta w usłudze Azure Monitor zapewnia większą kontrolę nad dostępem do danych. Zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 1.1.0
Zadania usługi Azure Stream Analytics powinny używać kluczy zarządzanych przez klienta do szyfrowania danych Użyj kluczy zarządzanych przez klienta, aby bezpiecznie przechowywać wszelkie metadane i prywatne zasoby danych zadań usługi Stream Analytics na koncie magazynu. Zapewnia to całkowitą kontrolę nad sposobem szyfrowania danych usługi Stream Analytics. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 1.1.0
Obszary robocze usługi Azure Synapse powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Użyj kluczy zarządzanych przez klienta, aby kontrolować szyfrowanie danych przechowywanych w obszarach roboczych usługi Azure Synapse. Klucze zarządzane przez klienta zapewniają podwójne szyfrowanie przez dodanie drugiej warstwy szyfrowania na podstawie domyślnego szyfrowania za pomocą kluczy zarządzanych przez usługę. Inspekcja, Odmowa, Wyłączone 1.0.0
Usługa Bot Service powinna być szyfrowana przy użyciu klucza zarządzanego przez klienta Usługa Azure Bot Service automatycznie szyfruje zasób w celu ochrony danych i spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. Domyślnie używane są klucze szyfrowania zarządzane przez firmę Microsoft. Aby uzyskać większą elastyczność zarządzania kluczami lub kontrolowania dostępu do subskrypcji, wybierz klucze zarządzane przez klienta, znane również jako bring your own key (BYOK). Dowiedz się więcej o szyfrowaniu usługi Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 1.1.0
Zarówno systemy operacyjne, jak i dyski danych w klastrach usługi Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta Szyfrowanie dysków systemu operacyjnego i danych przy użyciu kluczy zarządzanych przez klienta zapewnia większą kontrolę i większą elastyczność zarządzania kluczami. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. Inspekcja, Odmowa, Wyłączone 1.0.1
Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości rejestrów. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/acr/CMK. Inspekcja, Odmowa, Wyłączone 1.1.2
Definiowanie fizycznego procesu zarządzania kluczami CMA_0115 — definiowanie fizycznego procesu zarządzania kluczami Ręczne, wyłączone 1.1.0
Definiowanie użycia kryptograficznego CMA_0120 — definiowanie użycia kryptograficznego Ręczne, wyłączone 1.1.0
Definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi CMA_0123 — definiowanie wymagań organizacyjnych dotyczących zarządzania kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Określanie wymagań dotyczących asercji CMA_0136 — określanie wymagań asercji Ręczne, wyłączone 1.1.0
Przestrzenie nazw centrum zdarzeń powinny używać klucza zarządzanego przez klienta do szyfrowania Usługa Azure Event Hubs obsługuje opcję szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft (ustawienie domyślne) lub kluczy zarządzanych przez klienta. Wybranie opcji szyfrowania danych przy użyciu kluczy zarządzanych przez klienta umożliwia przypisywanie, obracanie, wyłączanie i odwoływanie dostępu do kluczy używanych przez usługę Event Hub do szyfrowania danych w przestrzeni nazw. Należy pamiętać, że usługa Event Hub obsługuje szyfrowanie tylko przy użyciu kluczy zarządzanych przez klienta dla przestrzeni nazw w dedykowanych klastrach. Inspekcja, wyłączone 1.0.0
Konta usługi HPC Cache powinny używać klucza zarządzanego przez klienta do szyfrowania Zarządzanie szyfrowaniem w spoczynku usługi Azure HPC Cache przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Inspekcja, Wyłączone, Odmowa 2.0.0
Wystawianie certyfikatów kluczy publicznych CMA_0347 — wystawianie certyfikatów kluczy publicznych Ręczne, wyłączone 1.1.0
Środowisko usługi integracji usługi Logic Apps powinno być szyfrowane przy użyciu kluczy zarządzanych przez klienta Wdróż w środowisku usługi integracji, aby zarządzać szyfrowaniem w spoczynku danych usługi Logic Apps przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Inspekcja, Odmowa, Wyłączone 1.0.0
Zarządzanie symetrycznymi kluczami kryptograficznymi CMA_0367 — zarządzanie symetrycznymi kluczami kryptograficznymi Ręczne, wyłączone 1.1.0
Dyski zarządzane powinny być dwukrotnie szyfrowane przy użyciu kluczy zarządzanych przez platformę i zarządzanych przez klienta Klienci z wysokim poziomem zabezpieczeń, którzy są zaniepokojeni ryzykiem związanym z konkretnym algorytmem szyfrowania, implementacją lub kluczem, mogą zdecydować się na dodatkową warstwę szyfrowania przy użyciu innego algorytmu/trybu szyfrowania w warstwie infrastruktury przy użyciu kluczy szyfrowania zarządzanych przez platformę. Zestawy szyfrowania dysków są wymagane do używania podwójnego szyfrowania. Dowiedz się więcej na https://aka.ms/disks-doubleEncryption. Inspekcja, Odmowa, Wyłączone 1.0.0
Serwery MySQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów MySQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. AuditIfNotExists, Disabled 1.0.4
Dyski systemu operacyjnego i danych powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości dysków zarządzanych. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/disks-cmk. Inspekcja, Odmowa, Wyłączone 3.0.0
Serwery PostgreSQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów PostgreSQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. AuditIfNotExists, Disabled 1.0.4
Ograniczanie dostępu do kluczy prywatnych CMA_0445 — ograniczanie dostępu do kluczy prywatnych Ręczne, wyłączone 1.1.0
Zapisane zapytania w usłudze Azure Monitor powinny być zapisywane na koncie magazynu klienta na potrzeby szyfrowania dzienników Połącz konto magazynu z obszarem roboczym usługi Log Analytics, aby chronić zapisane zapytania przy użyciu szyfrowania konta magazynu. Klucze zarządzane przez klienta są często wymagane do spełnienia zgodności z przepisami i większej kontroli nad dostępem do zapisanych zapytań w usłudze Azure Monitor. Aby uzyskać więcej informacji na temat powyższych informacji, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 1.1.0
Przestrzenie nazw usługi Service Bus Premium powinny używać klucza zarządzanego przez klienta do szyfrowania Usługa Azure Service Bus obsługuje opcję szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft (ustawienie domyślne) lub kluczy zarządzanych przez klienta. Wybranie opcji szyfrowania danych przy użyciu kluczy zarządzanych przez klienta umożliwia przypisywanie, obracanie, wyłączanie i odwoływanie dostępu do kluczy używanych przez usługę Service Bus do szyfrowania danych w przestrzeni nazw. Należy pamiętać, że usługa Service Bus obsługuje tylko szyfrowanie przy użyciu kluczy zarządzanych przez klienta dla przestrzeni nazw w warstwie Premium. Inspekcja, wyłączone 1.0.0
Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. Inspekcja, Odmowa, Wyłączone 2.0.0
Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. Inspekcja, Odmowa, Wyłączone 2.0.1
Zakresy szyfrowania konta magazynu powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałych zakresach szyfrowania konta magazynu. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza magazynu kluczy platformy Azure utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej o zakresach szyfrowania konta magazynu na stronie https://aka.ms/encryption-scopes-overview. Inspekcja, Odmowa, Wyłączone 1.0.0
Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. Inspekcja, wyłączone 1.0.3

Klucze symetryczne

IDENTYFIKATOR: FedRAMP Moderate SC-12 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Tworzenie, kontrolowanie i dystrybuowanie symetrycznych kluczy kryptograficznych CMA_C1645 — tworzenie, kontrolowanie i dystrybuowanie symetrycznych kluczy kryptograficznych Ręczne, wyłączone 1.1.0

Klucze asymetryczne

IDENTYFIKATOR: FedRAMP Moderate SC-12 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych CMA_C1646 — tworzenie, kontrolowanie i dystrybuowanie asymetrycznych kluczy kryptograficznych Ręczne, wyłączone 1.1.0

Ochrona kryptograficzna

Identyfikator: FedRAMP Moderate SC-13 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Definiowanie użycia kryptograficznego CMA_0120 — definiowanie użycia kryptograficznego Ręczne, wyłączone 1.1.0

Urządzenia do współpracy obliczeniowej

Identyfikator: FedRAMP Moderate SC-15 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Jawne powiadamianie o użyciu urządzeń do współpracy obliczeniowej CMA_C1649 — jawne powiadamianie o użyciu urządzeń do współpracy obliczeniowej Ręczne, wyłączone 1.1.1
Uniemożliwianie zdalnej aktywacji urządzeń do współpracy obliczeniowej CMA_C1648 — uniemożliwianie zdalnej aktywacji urządzeń do współpracy obliczeniowej Ręczne, wyłączone 1.1.0

Certyfikaty infrastruktury kluczy publicznych

Identyfikator: FedRAMP Moderate SC-17 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Wystawianie certyfikatów kluczy publicznych CMA_0347 — wystawianie certyfikatów kluczy publicznych Ręczne, wyłączone 1.1.0

Kod dla urządzeń przenośnych

Identyfikator: FedRAMP Moderate SC-18 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie, monitorowanie i kontrolowanie użycia technologii kodu mobilnego CMA_C1653 — autoryzowanie, monitorowanie i kontrolowanie użycia technologii kodu mobilnego Ręczne, wyłączone 1.1.0
Definiowanie akceptowalnych i niedopuszczalnych technologii kodu mobilnego CMA_C1651 — definiowanie akceptowalnych i niedopuszczalnych technologii kodu mobilnego Ręczne, wyłączone 1.1.0
Ustanawianie ograniczeń użycia dla technologii kodu mobilnego CMA_C1652 — ustanawianie ograniczeń użycia dla technologii kodu mobilnego Ręczne, wyłączone 1.1.0

Protokół głosowy za pośrednictwem internetu

Identyfikator: FedRAMP Moderate SC-19 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie, monitorowanie i kontrolowanie voip CMA_0025 — autoryzowanie, monitorowanie i kontrolowanie voip Ręczne, wyłączone 1.1.0
Ustanawianie ograniczeń użycia voip CMA_0280 — ustanawianie ograniczeń użycia voip Ręczne, wyłączone 1.1.0

Bezpieczna nazwa/usługa rozpoznawania adresów (autorytatywne źródło)

Identyfikator: FedRAMP Moderate SC-20 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie usługi nazw/adresów odpornych na błędy CMA_0305 — implementowanie usługi nazw/adresów odpornych na błędy Ręczne, wyłączone 1.1.0
Zapewnianie bezpiecznych nazw i usług rozpoznawania adresów CMA_0416 — zapewnianie bezpiecznej nazwy i usług rozpoznawania adresów Ręczne, wyłączone 1.1.0

Bezpieczna nazwa /usługa rozpoznawania adresów (rekursywna lub buforowanie rozpoznawania adresów)

Identyfikator: FedRAMP Moderate SC-21 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie usługi nazw/adresów odpornych na błędy CMA_0305 — implementowanie usługi nazw/adresów odpornych na błędy Ręczne, wyłączone 1.1.0
Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji Ręczne, wyłączone 1.1.0

Architektura i aprowizowanie usługi rozpoznawania nazw/adresów

IDENTYFIKATOR: FedRAMP Moderate SC-22 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Implementowanie usługi nazw/adresów odpornych na błędy CMA_0305 — implementowanie usługi nazw/adresów odpornych na błędy Ręczne, wyłączone 1.1.0

Autentyczność sesji

Identyfikator: FedRAMP Moderate SC-23 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych CMA_0073 — konfigurowanie stacji roboczych pod kątem sprawdzania certyfikatów cyfrowych Ręczne, wyłączone 1.1.0
Wymuszanie losowych unikatowych identyfikatorów sesji CMA_0247 — wymuszanie losowych unikatowych identyfikatorów sesji Ręczne, wyłączone 1.1.0

Ochrona informacji magazynowanych

IDENTYFIKATOR: FedRAMP Moderate SC-28 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Środowisko App Service Environment powinno mieć włączone szyfrowanie wewnętrzne Ustawienie wartości InternalEncryption na wartość true powoduje szyfrowanie pliku stronicowania, dysków procesów roboczych i wewnętrznego ruchu sieciowego między frontonami a procesami roboczymi w środowisku App Service Environment. Aby dowiedzieć się więcej, zobacz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Inspekcja, wyłączone 1.0.1
Zmienne konta usługi Automation powinny być szyfrowane Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych Inspekcja, Odmowa, Wyłączone 1.1.0
Zadania usługi Azure Data Box powinny włączyć podwójne szyfrowanie danych magazynowanych na urządzeniu Włącz drugą warstwę szyfrowania opartego na oprogramowaniu dla danych magazynowanych na urządzeniu. Urządzenie jest już chronione za pomocą szyfrowania Advanced Encryption Standard 256-bitowego dla danych magazynowanych. Ta opcja dodaje drugą warstwę szyfrowania danych. Inspekcja, Odmowa, Wyłączone 1.0.0
Klastry dzienników usługi Azure Monitor powinny być tworzone z włączonym szyfrowaniem infrastruktury (podwójne szyfrowanie) Aby zapewnić włączenie bezpiecznego szyfrowania danych na poziomie usługi i poziomu infrastruktury z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami, należy użyć dedykowanego klastra usługi Azure Monitor. Ta opcja jest domyślnie włączona, jeśli jest obsługiwana w regionie, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 1.1.0
Urządzenia usługi Azure Stack Edge powinny używać podwójnego szyfrowania Aby zabezpieczyć dane magazynowane na urządzeniu, upewnij się, że są dwukrotnie szyfrowane, dostęp do danych jest kontrolowany, a po dezaktywowaniu urządzenia dane są bezpiecznie usuwane z dysków danych. Podwójne szyfrowanie to użycie dwóch warstw szyfrowania: szyfrowanie 256-bitowe XTS-AES funkcji BitLocker na woluminach danych i wbudowane szyfrowanie dysków twardych. Dowiedz się więcej w dokumentacji przeglądu zabezpieczeń dla określonego urządzenia Stack Edge. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 1.1.0
Szyfrowanie dysków powinno być włączone w usłudze Azure Data Explorer Włączenie szyfrowania dysków pomaga chronić i chronić dane w celu spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. Inspekcja, Odmowa, Wyłączone 2.0.0
Podwójne szyfrowanie powinno być włączone w usłudze Azure Data Explorer Włączenie podwójnego szyfrowania pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu podwójnego szyfrowania dane na koncie magazynu są szyfrowane dwa razy, raz na poziomie usługi i raz na poziomie infrastruktury przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. Inspekcja, Odmowa, Wyłączone 2.0.0
Ustanawianie procedury zarządzania wyciekami danych CMA_0255 — ustanawianie procedury zarządzania wyciekami danych Ręczne, wyłączone 1.1.0
Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for MySQL Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for MySQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych przez firmę Microsoft ze standardem FIPS 140-2. Inspekcja, Odmowa, Wyłączone 1.0.0
Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for PostgreSQL Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for PostgreSQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych firmy Microsoft ze standardem FIPS 140-2 Inspekcja, Odmowa, Wyłączone 1.0.0
Ochrona informacji specjalnych CMA_0409 — ochrona informacji specjalnych Ręczne, wyłączone 1.1.0
Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign Usługa Service Fabric zapewnia trzy poziomy ochrony (None, Sign and EncryptAndSign) na potrzeby komunikacji między węzłami przy użyciu certyfikatu podstawowego klastra. Ustaw poziom ochrony, aby upewnić się, że wszystkie komunikaty typu node-to-node są szyfrowane i podpisane cyfrowo Inspekcja, Odmowa, Wyłączone 1.1.0
Konta magazynu powinny mieć szyfrowanie infrastruktury Włącz szyfrowanie infrastruktury, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwa razy. Inspekcja, Odmowa, Wyłączone 1.0.0
Dyski tymczasowe i pamięć podręczna dla pul węzłów agenta w klastrach usługi Azure Kubernetes Service powinny być szyfrowane na hoście Aby zwiększyć bezpieczeństwo danych, dane przechowywane na hoście maszyny wirtualnej (VM) maszyn wirtualnych węzłów usługi Azure Kubernetes Service powinny być szyfrowane w spoczynku. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. Inspekcja, Odmowa, Wyłączone 1.0.1
Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności AuditIfNotExists, Disabled 2.0.0
Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej na https://aka.ms/vm-hbe. Inspekcja, Odmowa, Wyłączone 1.0.0

Ochrona kryptograficzna

IDENTYFIKATOR: FedRAMP Moderate SC-28 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Środowisko App Service Environment powinno mieć włączone szyfrowanie wewnętrzne Ustawienie wartości InternalEncryption na wartość true powoduje szyfrowanie pliku stronicowania, dysków procesów roboczych i wewnętrznego ruchu sieciowego między frontonami a procesami roboczymi w środowisku App Service Environment. Aby dowiedzieć się więcej, zobacz https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Inspekcja, wyłączone 1.0.1
Zmienne konta usługi Automation powinny być szyfrowane Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych Inspekcja, Odmowa, Wyłączone 1.1.0
Zadania usługi Azure Data Box powinny włączyć podwójne szyfrowanie danych magazynowanych na urządzeniu Włącz drugą warstwę szyfrowania opartego na oprogramowaniu dla danych magazynowanych na urządzeniu. Urządzenie jest już chronione za pomocą szyfrowania Advanced Encryption Standard 256-bitowego dla danych magazynowanych. Ta opcja dodaje drugą warstwę szyfrowania danych. Inspekcja, Odmowa, Wyłączone 1.0.0
Klastry dzienników usługi Azure Monitor powinny być tworzone z włączonym szyfrowaniem infrastruktury (podwójne szyfrowanie) Aby zapewnić włączenie bezpiecznego szyfrowania danych na poziomie usługi i poziomu infrastruktury z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami, należy użyć dedykowanego klastra usługi Azure Monitor. Ta opcja jest domyślnie włączona, jeśli jest obsługiwana w regionie, zobacz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 1.1.0
Urządzenia usługi Azure Stack Edge powinny używać podwójnego szyfrowania Aby zabezpieczyć dane magazynowane na urządzeniu, upewnij się, że są dwukrotnie szyfrowane, dostęp do danych jest kontrolowany, a po dezaktywowaniu urządzenia dane są bezpiecznie usuwane z dysków danych. Podwójne szyfrowanie to użycie dwóch warstw szyfrowania: szyfrowanie 256-bitowe XTS-AES funkcji BitLocker na woluminach danych i wbudowane szyfrowanie dysków twardych. Dowiedz się więcej w dokumentacji przeglądu zabezpieczeń dla określonego urządzenia Stack Edge. inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone 1.1.0
Szyfrowanie dysków powinno być włączone w usłudze Azure Data Explorer Włączenie szyfrowania dysków pomaga chronić i chronić dane w celu spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. Inspekcja, Odmowa, Wyłączone 2.0.0
Podwójne szyfrowanie powinno być włączone w usłudze Azure Data Explorer Włączenie podwójnego szyfrowania pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu podwójnego szyfrowania dane na koncie magazynu są szyfrowane dwa razy, raz na poziomie usługi i raz na poziomie infrastruktury przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. Inspekcja, Odmowa, Wyłączone 2.0.0
Implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów CMA_0314 — implementowanie kontrolek w celu zabezpieczenia wszystkich multimediów Ręczne, wyłączone 1.1.0
Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for MySQL Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for MySQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych przez firmę Microsoft ze standardem FIPS 140-2. Inspekcja, Odmowa, Wyłączone 1.0.0
Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for PostgreSQL Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for PostgreSQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych firmy Microsoft ze standardem FIPS 140-2 Inspekcja, Odmowa, Wyłączone 1.0.0
Ochrona danych przesyłanych przy użyciu szyfrowania CMA_0403 — ochrona danych przesyłanych przy użyciu szyfrowania Ręczne, wyłączone 1.1.0
Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign Usługa Service Fabric zapewnia trzy poziomy ochrony (None, Sign and EncryptAndSign) na potrzeby komunikacji między węzłami przy użyciu certyfikatu podstawowego klastra. Ustaw poziom ochrony, aby upewnić się, że wszystkie komunikaty typu node-to-node są szyfrowane i podpisane cyfrowo Inspekcja, Odmowa, Wyłączone 1.1.0
Konta magazynu powinny mieć szyfrowanie infrastruktury Włącz szyfrowanie infrastruktury, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwa razy. Inspekcja, Odmowa, Wyłączone 1.0.0
Dyski tymczasowe i pamięć podręczna dla pul węzłów agenta w klastrach usługi Azure Kubernetes Service powinny być szyfrowane na hoście Aby zwiększyć bezpieczeństwo danych, dane przechowywane na hoście maszyny wirtualnej (VM) maszyn wirtualnych węzłów usługi Azure Kubernetes Service powinny być szyfrowane w spoczynku. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. Inspekcja, Odmowa, Wyłączone 1.0.1
Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności AuditIfNotExists, Disabled 2.0.0
Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej na https://aka.ms/vm-hbe. Inspekcja, Odmowa, Wyłączone 1.0.0

Izolacja procesu

IDENTYFIKATOR: FedRAMP Moderate SC-39 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Obsługa oddzielnych domen wykonywania dla uruchomionych procesów CMA_C1665 — obsługa oddzielnych domen wykonywania dla uruchomionych procesów Ręczne, wyłączone 1.1.0

Integralność systemu i informacji

Zasady i procedury dotyczące integralności informacji i systemu

Identyfikator: FedRAMP Moderate SI-1 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeglądanie i aktualizowanie zasad i procedur integralności informacji CMA_C1667 — przegląd i aktualizowanie zasad i procedur integralności informacji Ręczne, wyłączone 1.1.0

Korygowanie błędów

Identyfikator: FedRAMP Moderate SI-2 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. AuditIfNotExists, Disabled 3.0.0
Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. AuditIfNotExists, Disabled 4.0.0
Usługa Azure Defender for App Service powinna być włączona Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. AuditIfNotExists, Disabled 1.0.3
Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender dla usługi Key Vault powinna być włączona Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. AuditIfNotExists, Disabled 1.0.3
Usługa Azure Defender dla usługi Resource Manager powinna być włączona Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Usługa Azure Defender dla serwerów powinna być włączona Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. AuditIfNotExists, Disabled 1.0.3
Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. AuditIfNotExists, Disabled 4.0.0
Uwzględnianie korygowania błędów w zarządzaniu konfiguracją CMA_C1671 — dołączanie korygowania błędów do zarządzania konfiguracją Ręczne, wyłączone 1.1.0
Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia Uaktualnij klaster usługi Kubernetes do nowszej wersji rozwiązania Kubernetes, aby chronić przed znanymi lukami w zabezpieczeniach w bieżącej wersji rozwiązania Kubernetes. Luka w zabezpieczeniach CVE-2019-9946 została poprawiona w wersjach 1.11.9+, 1.12.7+, 1.13.5+i 1.14.0+ Inspekcja, wyłączone 1.0.2
Należy włączyć usługę Microsoft Defender for Containers Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. AuditIfNotExists, Disabled 1.0.0
Usługa Microsoft Defender for Storage powinna być włączona Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. AuditIfNotExists, Disabled 1.0.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0
Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. AuditIfNotExists, Disabled 4.1.0
Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach Serwery, które nie spełniają skonfigurowanych punktów odniesienia, będą monitorowane przez usługę Azure Security Center jako zalecenia AuditIfNotExists, Disabled 3.1.0

Stan zautomatyzowanego korygowania błędów

IDENTYFIKATOR: FedRAMP Moderate SI-2 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Automatyzowanie korygowania błędów CMA_0027 — automatyzowanie korygowania błędów Ręczne, wyłączone 1.1.0
Korygowanie wad systemu informacyjnego CMA_0427 — korygowanie błędów systemu informacyjnego Ręczne, wyłączone 1.1.0

Czas korygowania wad/testów porównawczych dla akcji naprawczych

IDENTYFIKATOR: FedRAMP Moderate SI-2 (3) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Ustanawianie testów porównawczych na potrzeby korygowania błędów CMA_C1675 — ustanawianie testów porównawczych na potrzeby korygowania błędów Ręczne, wyłączone 1.1.0
Mierzenie czasu między identyfikacją wad i korygowaniem błędów CMA_C1674 — mierzenie czasu między identyfikacją wad i korygowaniem błędów Ręczne, wyłączone 1.1.0

Złośliwa ochrona kodu

IDENTYFIKATOR: FedRAMP Moderate SI-3 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Azure Defender dla serwerów powinna być włączona Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. AuditIfNotExists, Disabled 1.0.3
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj stan ochrony przed zagrożeniami CMA_0479 — co tydzień przejrzyj stan ochrony przed zagrożeniami Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0
Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). AuditIfNotExists, Disabled 2.0.0

Centralne zarządzanie

IDENTYFIKATOR: FedRAMP Moderate SI-3 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Azure Defender dla serwerów powinna być włączona Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. AuditIfNotExists, Disabled 1.0.3
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0
Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). AuditIfNotExists, Disabled 2.0.0

Aktualizacje automatyczne

Identyfikator: FedRAMP Moderate SI-3 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0

Wykrywanie nieprzypisane

IDENTYFIKATOR: FedRAMP Moderate SI-3 (7) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB CMA_0050 — blokowanie niezaufanych i niepodpisanych procesów uruchamianych z dysku USB Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Przeprowadzanie skanowania luk w zabezpieczeniach CMA_0393 — przeprowadzanie skanowania luk w zabezpieczeniach Ręczne, wyłączone 1.1.0
Co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania CMA_0475 — co tydzień przejrzyj raport dotyczący wykrywania złośliwego oprogramowania Ręczne, wyłączone 1.1.0
Aktualizowanie definicji oprogramowania antywirusowego CMA_0517 — aktualizowanie definicji oprogramowania antywirusowego Ręczne, wyłączone 1.1.0

Monitorowanie systemu informacyjnego

IDENTYFIKATOR: FedRAMP Moderate SI-4 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
[Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji AuditIfNotExists, Disabled 3.0.0-preview
[Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled Wersja zapoznawcza 6.0.0
[Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z usługą Azure Arc z systemem Linux Te zasady przeprowadzają inspekcję maszyn usługi Azure Arc z systemem Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. AuditIfNotExists, Disabled 1.0.1—wersja zapoznawcza
[Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc Te zasady przeprowadzają inspekcję maszyn z systemem Windows Azure Arc, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. AuditIfNotExists, Disabled 1.0.1—wersja zapoznawcza
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. AuditIfNotExists, Disabled 1.0.2—wersja zapoznawcza
[Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. AuditIfNotExists, Disabled 1.0.2—wersja zapoznawcza
Usługa Azure Defender for App Service powinna być włączona Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. AuditIfNotExists, Disabled 1.0.3
Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender dla usługi Key Vault powinna być włączona Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. AuditIfNotExists, Disabled 1.0.3
Usługa Azure Defender dla usługi Resource Manager powinna być włączona Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager pod adresem https://aka.ms/defender-for-resource-manager . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Usługa Azure Defender dla serwerów powinna być włączona Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. AuditIfNotExists, Disabled 1.0.3
Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. AuditIfNotExists, Disabled 1.0.2
Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. AuditIfNotExists, Disabled 1.0.2
Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady w gościu będą dostępne, takie jak "Funkcja Windows Exploit Guard powinna być włączona". Dowiedz się więcej na https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Należy włączyć usługę Microsoft Defender for Containers Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. AuditIfNotExists, Disabled 1.0.0
Usługa Microsoft Defender for Storage powinna być włączona Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. AuditIfNotExists, Disabled 1.0.0
Usługa Network Watcher powinna być włączona Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. AuditIfNotExists, Disabled 3.0.0
Uzyskiwanie opinii prawnej na temat monitorowania działań systemu CMA_C1688 — uzyskiwanie opinii prawnej na temat monitorowania działań systemowych Ręczne, wyłączone 1.1.0
Przeprowadzanie analizy trendów na potrzeby zagrożeń CMA_0389 — przeprowadzanie analizy trendów zagrożeń Ręczne, wyłączone 1.1.0
Podaj informacje dotyczące monitorowania zgodnie z potrzebami CMA_C1689 — podaj informacje dotyczące monitorowania zgodnie z potrzebami Ręczne, wyłączone 1.1.0
Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Zautomatyzowane narzędzia do analizy w czasie rzeczywistym

IDENTYFIKATOR: FedRAMP Moderate SI-4 (2) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Operacje zabezpieczeń dokumentu CMA_0202 — operacje zabezpieczeń dokumentu Ręczne, wyłączone 1.1.0
Włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego CMA_0514 — włączanie czujników dla rozwiązania zabezpieczeń punktu końcowego Ręczne, wyłączone 1.1.0

Ruch przychodzący i wychodzący komunikacji

IDENTYFIKATOR: FedRAMP Moderate SI-4 (4) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Autoryzowanie, monitorowanie i kontrolowanie voip CMA_0025 — autoryzowanie, monitorowanie i kontrolowanie voip Ręczne, wyłączone 1.1.0
Implementowanie ochrony granic systemu CMA_0328 — implementowanie ochrony granic systemu Ręczne, wyłączone 1.1.0
Zarządzanie bramami CMA_0363 — zarządzanie bramami Ręczne, wyłączone 1.1.0
Kierowanie ruchu za pośrednictwem zarządzanych punktów dostępu do sieci CMA_0484 — kierowanie ruchu przez zarządzane punkty dostępu do sieci Ręczne, wyłączone 1.1.0

Alerty generowane przez system

IDENTYFIKATOR: FedRAMP Moderate SI-4 (5) Własność: Współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Personel alertów dotyczący rozlewu informacji CMA_0007 — personel alertów dotyczący wycieku informacji Ręczne, wyłączone 1.1.0
Opracowywanie planu reagowania na zdarzenia CMA_0145 — opracowywanie planu reagowania na zdarzenia Ręczne, wyłączone 1.1.0
Ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji CMA_0495 — ustawianie automatycznych powiadomień dla nowych i popularnych aplikacji w chmurze w organizacji Ręczne, wyłączone 1.1.0

Wykrywanie nieautoryzowanego dostępu bezprzewodowego

Identyfikator: FedRAMP Moderate SI-4 (14) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dokumentowanie kontroli zabezpieczeń dostępu bezprzewodowego CMA_C1695 — kontrola zabezpieczeń dostępu bezprzewodowego dokumentu Ręczne, wyłączone 1.1.0

Alerty zabezpieczeń, biuletyny i dyrektywy

Identyfikator: FedRAMP Moderate SI-5 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Rozpowszechnianie alertów zabezpieczeń dla personelu CMA_C1705 — rozpowszechnianie alertów zabezpieczeń dla personelu Ręczne, wyłączone 1.1.0
Ustanawianie programu analizy zagrożeń CMA_0260 — ustanawianie programu analizy zagrożeń Ręczne, wyłączone 1.1.0
Generowanie wewnętrznych alertów zabezpieczeń CMA_C1704 — generowanie wewnętrznych alertów zabezpieczeń Ręczne, wyłączone 1.1.0
Implementowanie dyrektyw zabezpieczeń CMA_C1706 — implementowanie dyrektyw zabezpieczeń Ręczne, wyłączone 1.1.0

Weryfikacja funkcji zabezpieczeń

Identyfikator: FedRAMP Moderate SI-6 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Tworzenie alternatywnych akcji dla zidentyfikowanych anomalii CMA_C1711 — tworzenie alternatywnych akcji dla zidentyfikowanych anomalii Ręczne, wyłączone 1.1.0
Powiadamianie personelu o wszelkich nieudanych testach weryfikacji zabezpieczeń CMA_C1710 — powiadamianie personelu o wszelkich nieudanych testach weryfikacji zabezpieczeń Ręczne, wyłączone 1.1.0
Przeprowadzanie weryfikacji funkcji zabezpieczeń z zdefiniowaną częstotliwością CMA_C1709 — przeprowadzanie weryfikacji funkcji zabezpieczeń z określoną częstotliwością Ręczne, wyłączone 1.1.0
Weryfikowanie funkcji zabezpieczeń CMA_C1708 — weryfikowanie funkcji zabezpieczeń Ręczne, wyłączone 1.1.0

Oprogramowanie, oprogramowanie układowe i integralność informacji

Identyfikator: FedRAMP Moderate SI-7 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji Ręczne, wyłączone 1.1.0

Sprawdzanie integralności

IDENTYFIKATOR: FedRAMP Moderate SI-7 (1) Własność: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji CMA_0542 — weryfikowanie integralności oprogramowania, oprogramowania układowego i informacji Ręczne, wyłączone 1.1.0
Wyświetlanie i konfigurowanie danych diagnostycznych systemu CMA_0544 — wyświetlanie i konfigurowanie danych diagnostycznych systemu Ręczne, wyłączone 1.1.0

Walidacja danych wejściowych informacji

Identyfikator: FedRAMP Moderate SI-10 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Przeprowadzanie weryfikacji danych wejściowych informacji CMA_C1723 — przeprowadzanie weryfikacji danych wejściowych informacji Ręczne, wyłączone 1.1.0

Obsługa błędów

Identyfikator: FedRAMP Moderate SI-11 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Generowanie komunikatów o błędach CMA_C1724 — generowanie komunikatów o błędach Ręczne, wyłączone 1.1.0
Ujawnianie komunikatów o błędach CMA_C1725 — wyświetlanie komunikatów o błędach Ręczne, wyłączone 1.1.0

Obsługa i przechowywanie informacji

Identyfikator: FedRAMP Moderate SI-12 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Kontrolowanie dostępu fizycznego CMA_0081 — kontrolowanie dostępu fizycznego Ręczne, wyłączone 1.1.0
Zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych CMA_0369 — zarządzanie danymi wejściowymi, wyjściowymi, przetwarzaniem i przechowywaniem danych Ręczne, wyłączone 1.1.0
Przeglądanie działań i analiz etykiet CMA_0474 — przeglądanie działań i analiz etykiet Ręczne, wyłączone 1.1.0

Ochrona pamięci

Identyfikator: FedRAMP Moderate SI-16 Ownership: Shared

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Usługa Azure Defender dla serwerów powinna być włączona Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. AuditIfNotExists, Disabled 1.0.3
Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). AuditIfNotExists, Disabled 2.0.0

Następne kroki

Dodatkowe artykuły dotyczące usługi Azure Policy: