Szczegóły wbudowanej inicjatywy CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government) zgodność z przepisami
Poniższy artykuł zawiera szczegółowe informacje o tym, jak wbudowana definicja inicjatywy zgodności usługi Azure Policy jest mapowana na domeny zgodności i mechanizmy kontroli w modelu CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government). Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark 1.3.0. Aby zrozumieć własność, zapoznaj się z typem zasad i wspólną odpowiedzialnością w chmurze.
Poniższe mapowania dotyczą kontrolek CIS Microsoft Azure Foundations Benchmark 1.3.0 . Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz wbudowaną definicję inicjatywy CIS Microsoft Azure Foundations Benchmark w wersji 1.3.0 Zgodność z przepisami.
Ważne
Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.
1 Zarządzanie tożsamościami i dostępem
Upewnij się, że uwierzytelnianie wieloskładnikowe jest włączone dla wszystkich uprzywilejowanych użytkowników
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami właściciela do zasobów platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami właściciela, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do zapisu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że uwierzytelnianie wieloskładnikowe jest włączone dla wszystkich nieuprzywilejowanych użytkowników
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.2 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 1.2 Ownership: Shared)
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta z uprawnieniami do odczytu w zasobach platformy Azure powinny być włączone uwierzytelnianie wieloskładnikowe | Usługa Multi-Factor Authentication (MFA) powinna być włączona dla wszystkich kont subskrypcji z uprawnieniami do odczytu, aby zapobiec naruszeniu kont lub zasobów. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że użytkownicy-goście są przeglądani co miesiąc
ID: CIS Microsoft Azure Foundations Benchmark recommendation 1.3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
| Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists, Disabled | 1.0.0 |
2 Security Center
Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla serwerów
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.1 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.1 Ownership: Shared)
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists, Disabled | 1.0.3 |
Upewnij się, że opcja "Dodatkowe adresy e-mail" jest skonfigurowana przy użyciu poczty e-mail kontaktu zabezpieczeń
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.13 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 2.13 Ownership: Shared)
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Upewnij się, że ustawienie "Powiadamianie o alertach o następującej ważności" ma wartość "Wysoka"
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 2.14 Ownership: Shared (Rekomendacja dotycząca testu porównawczego CIS Microsoft Azure Foundations 2.14 Ownership: Shared)
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla serwerów bazy danych Azure SQL Database
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists, Disabled | 1.0.2 |
Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla usługi Storage
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Należy włączyć usługę Microsoft Defender for Storage (klasyczną) | Usługa Microsoft Defender for Storage (klasyczna) umożliwia wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu lub wykorzystania ich. | AuditIfNotExists, Disabled | 1.0.4 |
Upewnij się, że usługa Azure Defender jest ustawiona na wartość Wł. dla platformy Kubernetes
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że usługa Azure Defender jest ustawiona na wartość Włączone dla rejestrów kontenerów
ID: CIS Microsoft Azure Foundations Benchmark recommendation 2.7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists, Disabled | 1.0.0 |
3 konta magazynu
Upewnij się, że opcja "Wymagany bezpieczny transfer" jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
Upewnij się, że domyślna reguła dostępu do sieci dla kont magazynu jest ustawiona na odmowę
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.6 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 3.6 Ownership: Shared)
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
Upewnij się, że opcja "Zaufane usługi firmy Microsoft" jest włączona na potrzeby dostępu do konta magazynu
ID: CIS Microsoft Azure Foundations Benchmark recommendation 3.7 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 3.7 Ownership: Shared)
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta magazynu powinny zezwalać na dostęp z zaufanych usługi firmy Microsoft | Niektóre usługi firmy Microsoft, które współdziałają z kontami magazynu, działają z sieci, których nie można udzielić dostępu za pośrednictwem reguł sieciowych. Aby ułatwić pracę tego typu usług zgodnie z oczekiwaniami, zezwól zestawowi zaufanych usługi firmy Microsoft na obejście reguł sieci. Te usługi będą następnie używać silnego uwierzytelniania w celu uzyskania dostępu do konta magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
Upewnij się, że magazyn danych krytycznych jest szyfrowany przy użyciu klucza zarządzanego przez klienta
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 3.9 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 3.9 : własność udostępniona)
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, wyłączone | 1.0.3 |
4 Usługi baz danych
Upewnij się, że właściwość "Inspekcja" jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists, Disabled | 2.0.0 |
Upewnij się, że wartość "Szyfrowanie danych" jest ustawiona na wartość "Włączone" w usłudze SQL Database
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AuditIfNotExists, Disabled | 2.0.0 |
Upewnij się, że przechowywanie "Inspekcja" jest "większe niż 90 dni"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Serwery SQL z inspekcją miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym | W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji programu SQL Server na koncie magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. | AuditIfNotExists, Disabled | 3.0.0 |
Upewnij się, że opcja Advanced Threat Protection (ATP) na serwerze SQL jest ustawiona na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists, Disabled | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists, Disabled | 1.0.2 |
Upewnij się, że ocena luk w zabezpieczeniach jest włączona na serwerze SQL, ustawiając konto magazynu
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 1.0.1 |
| Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL | Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists, Disabled | 3.0.0 |
Upewnij się, że dla serwera bazy danych PostgreSQL ustawiono wartość "Wymuszaj połączenie SSL"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
Upewnij się, że opcja "Wymuszaj połączenie SSL" jest ustawiona na wartość "ENABLED" dla serwera bazy danych MySQL
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL | Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
Upewnij się, że parametr serwera "log_checkpoints" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Punkty kontrolne dziennika powinny być włączone dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_checkpoints. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że parametr serwera "log_connections" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Połączenia dzienników powinny być włączone dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ustawienia log_connections. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że parametr serwera "log_disconnections" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Rozłączenia powinny być rejestrowane dla serwerów bazy danych PostgreSQL. | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączenia log_disconnections. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że parametr serwera "connection_throttling" jest ustawiony na wartość "ON" dla serwera bazy danych PostgreSQL
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Należy włączyć ograniczanie połączeń dla serwerów baz danych PostgreSQL | Te zasady ułatwiają inspekcję wszystkich baz danych PostgreSQL w środowisku bez włączonego ograniczania połączeń. To ustawienie umożliwia tymczasowe ograniczanie przepustowości połączenia na adres IP dla zbyt wielu nieprawidłowych niepowodzeń logowania haseł. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że skonfigurowano administratora usługi Azure Active Directory
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że funkcja ochrony TDE serwera SQL jest szyfrowana przy użyciu klucza zarządzanego przez klienta
ID: CIS Microsoft Azure Foundations Benchmark recommendation 4.5 Ownership: Shared (Rekomendacja dotycząca testu porównawczego ciS Platformy Microsoft Azure Foundations 4.5 : własność udostępniona)
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
5 Rejestrowanie i monitorowanie
Upewnij się, że konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK (Użyj własnego klucza)
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Konto magazynu zawierające kontener z dziennikami aktywności musi być zaszyfrowane za pomocą funkcji BYOK | Te zasady sprawdzają, czy konto magazynu zawierające kontener z dziennikami aktywności jest szyfrowane za pomocą funkcji BYOK. Zasady działają tylko wtedy, gdy konto magazynu znajduje się w tej samej subskrypcji co dzienniki aktywności zgodnie z projektem. Więcej informacji na temat szyfrowania usługi Azure Storage w spoczynku można znaleźć tutaj https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że rejestrowanie dla usługi Azure KeyVault jest włączone
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
Upewnij się, że alert dziennika aktywności istnieje dla tworzenia przypisania zasad
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji zasad | Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 3.0.0 |
Upewnij się, że alert dziennika aktywności istnieje dla przypisania zasad usuwania
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.2 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji zasad | Te zasady przeprowadzają inspekcję określonych operacji zasad bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 3.0.0 |
Upewnij się, że istnieje alert dziennika aktywności dla tworzenia lub aktualizowania sieciowej grupy zabezpieczeń
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że alert dziennika aktywności istnieje dla usuwania sieciowej grupy zabezpieczeń
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że alert dziennika aktywności istnieje dla reguły tworzenia lub aktualizowania sieciowej grupy zabezpieczeń
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że dla reguły usuwania sieciowej grupy zabezpieczeń istnieje alert dziennika aktywności
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.6 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że alert dziennika aktywności istnieje dla rozwiązania Tworzenia lub aktualizowania zabezpieczeń
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.7 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń | Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że alert dziennika aktywności istnieje dla rozwiązania zabezpieczeń usuwania
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.8 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji zabezpieczeń | Te zasady przeprowadzają inspekcję określonych operacji zabezpieczeń bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że dla reguły zapory programu SQL Server istnieje alert tworzenia lub aktualizowania lub usuwania dziennika aktywności
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.9 Ownership: Shared (Rekomendacja ciS Microsoft Azure Foundations Benchmark 5.2.9 Ownership: Shared)
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Alert dziennika aktywności powinien istnieć dla określonych operacji administracyjnych | Te zasady przeprowadzają inspekcję określonych operacji administracyjnych bez skonfigurowanych alertów dziennika aktywności. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że dzienniki diagnostyczne są włączone dla wszystkich usług, które je obsługują.
ID: CIS Microsoft Azure Foundations Benchmark recommendation 5.3 Ownership: Shared (CiS Microsoft Azure Foundations Benchmark recommendation 5.3 Ownership: Shared)
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists, Disabled | 2.0.1 |
| Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów na kontach usługi Batch powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w centrum zdarzeń powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Logic Apps powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.1.0 |
| Dzienniki zasobów w usługa wyszukiwania powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
| Dzienniki zasobów w usłudze Service Bus powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists, Disabled | 5.0.0 |
6 Sieci
Upewnij się, że usługa Network Watcher jest włączona
ID: CIS Microsoft Azure Foundations Benchmark recommendation 6.5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists, Disabled | 3.0.0 |
7 Maszyny wirtualne
Upewnij się, że maszyny wirtualne korzystają z Dyski zarządzane
ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | Ta zasada przeprowadza inspekcję maszyn wirtualnych, które nie korzystają z dysków zarządzanych | inspekcje | 1.0.0 |
Upewnij się, że zainstalowano tylko zatwierdzone rozszerzenia
ID: CIS Microsoft Azure Foundations Benchmark recommendation 7.4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej | Te zasady określają rozszerzenia maszyny wirtualnej, które nie są zatwierdzone. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
8 Inne zagadnienia dotyczące zabezpieczeń
Upewnij się, że magazyn kluczy można odzyskać
IDENTYFIKATOR: REKOMENDACJA CIS Microsoft Azure Foundations Benchmark 8.4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Magazyny kluczy powinny mieć włączoną ochronę usuwania | Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
Włączanie kontroli dostępu opartej na rolach (RBAC) w usługach Azure Kubernetes Services
ID: CIS Microsoft Azure Foundations Benchmark recommendation 8.5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Kontrola dostępu oparta na rolach (RBAC) powinna być używana w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC), aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Inspekcja, wyłączone | 1.0.4 |
9 AppService
Upewnij się, że uwierzytelnianie usługi App Service jest ustawione w usłudze aplikacja systemu Azure Service
ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.1 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny mieć włączone uwierzytelnianie | aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji internetowej lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji internetowej. | AuditIfNotExists, Disabled | 2.0.1 |
| Aplikacje funkcji powinny mieć włączone uwierzytelnianie | aplikacja systemu Azure Uwierzytelnianie usługi to funkcja, która może uniemożliwić anonimowe żądania HTTP dotarcie do aplikacji funkcji lub uwierzytelnić te, które mają tokeny przed dotarciem do aplikacji funkcji. | AuditIfNotExists, Disabled | 3.0.0 |
Upewnij się, że wdrożenia FTP są wyłączone
ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.10 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists, Disabled | 3.0.0 |
Upewnij się, że aplikacja internetowa przekierowuje cały ruch HTTP do protokołu HTTPS w usłudze aplikacja systemu Azure
IDENTYFIKATOR: CIS Microsoft Azure Foundations Benchmark recommendation 9.2 Ownership: Shared (Rekomendacja dotycząca testu porównawczego CIS Microsoft Azure Foundations 9.2 Ownership: Shared)
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
Upewnij się, że aplikacja internetowa korzysta z najnowszej wersji szyfrowania TLS
ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.3 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.1.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists, Disabled | 2.1.0 |
Upewnij się, że aplikacja internetowa ma ustawioną wartość "Certyfikaty klienta (przychodzące certyfikaty klienta)" na wartość "Włączone"
ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.4 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| [Przestarzałe]: Aplikacje funkcji powinny mieć włączoną opcję "Certyfikaty klienta (przychodzące certyfikaty klienta)" | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowymi certyfikatami będą mogli uzyskać dostęp do aplikacji. Te zasady zostały zastąpione przez nowe zasady o tej samej nazwie, ponieważ protokół Http 2.0 nie obsługuje certyfikatów klienta. | Inspekcja, wyłączone | 3.1.0 — przestarzałe |
| Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
Upewnij się, że opcja Rejestrowanie w usłudze Azure Active Directory jest włączona w usłudze App Service
ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.5 Ownership: Shared
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists, Disabled | 3.0.0 |
Upewnij się, że wartość "Wersja HTTP" jest najnowsza, jeśli jest używana do uruchamiania aplikacji internetowej
ID: CIS Microsoft Azure Foundations Benchmark recommendation 9.9 Ownership: Shared (Rekomendacja dotycząca ciS Microsoft Azure Foundations Benchmark 9.9: współdzielona)
| Nazwisko (Azure Portal) |
opis | Efekty | Wersja (GitHub) |
|---|---|---|---|
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu HTTP | Okresowo nowsze wersje są wydawane dla protokołu HTTP ze względu na wady zabezpieczeń lub dodatkowe funkcje. Korzystając z najnowszej wersji protokołu HTTP dla aplikacji internetowych, można korzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji nowszej wersji. | AuditIfNotExists, Disabled | 4.0.0 |
Następne kroki
Dodatkowe artykuły dotyczące usługi Azure Policy:
- Omówienie zgodności z przepisami .
- Zobacz strukturę definicji inicjatywy.
- Zapoznaj się z innymi przykładami w przykładach usługi Azure Policy.
- Przejrzyj wyjaśnienie działania zasad.
- Dowiedz się, jak korygować niezgodne zasoby.