Mechanizmy kontroli zgodności z przepisami usługi Azure Policy dla maszyn wirtualnych platformy Azure
Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows ✔️ — elastyczne zestawy ✔️ skalowania
Zgodność z przepisami w usłudze Azure Policy udostępnia definicje inicjatyw utworzonych i zarządzanych przez firmę Microsoft, znanych jako wbudowane, dla domen zgodności i mechanizmów kontroli zabezpieczeń związanych z różnymi standardami zgodności. Ta strona zawiera listę domen zgodności i mechanizmów kontroli zabezpieczeń dla usługi Azure Virtual Machines. Wbudowane funkcje kontroli zabezpieczeń można przypisać indywidualnie, aby ułatwić zapewnienie zgodności zasobów platformy Azure z określonym standardem.
Tytuł każdej wbudowanej definicji zasad łączy się z definicją zasad w witrynie Azure Portal. Użyj linku w kolumnie Wersja zasad, aby wyświetlić źródło w repozytorium GitHub usługi Azure Policy.
Ważne
Każda kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą. Jednak często między kontrolką a co najmniej jedną zasadą nie występuje dopasowanie jeden do jednego lub całkowitego dopasowania. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między kontrolkami i definicjami zgodności z przepisami usługi Azure Policy dla tych standardów zgodności mogą ulec zmianie w czasie.
Australian Government ISM PROTECTED
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — Australian Government ISM PROTECTED. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Australian Government ISM PROTECTED.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 415 | Identyfikacja użytkownika — 415 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 415 | Identyfikacja użytkownika — 415 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 415 | Identyfikacja użytkownika — 415 | Przeprowadź inspekcję maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy | 2.0.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 415 | Identyfikacja użytkownika — 415 | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń uwierzytelniania | 421 | Uwierzytelnianie jednoskładnikowe — 421 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń uwierzytelniania | 421 | Uwierzytelnianie jednoskładnikowe — 421 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń uwierzytelniania | 421 | Uwierzytelnianie jednoskładnikowe — 421 | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń uwierzytelniania | 421 | Uwierzytelnianie jednoskładnikowe — 421 | Maszyny z systemem Windows powinny spełniać wymagania dotyczące ustawień zabezpieczeń — zasady konta | 3.0.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 445 | Uprzywilejowany dostęp do systemów — 445 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 445 | Uprzywilejowany dostęp do systemów — 445 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 445 | Uprzywilejowany dostęp do systemów — 445 | Przeprowadź inspekcję maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy | 2.0.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 445 | Uprzywilejowany dostęp do systemów — 445 | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Wytyczne dotyczące monitorowania systemu — rejestrowanie i inspekcja zdarzeń | 582 | Zdarzenia do zarejestrowania — 582 | Maszyny wirtualne powinny być połączone z określonym obszarem roboczym | 1.1.0 |
| Wytyczne dotyczące zarządzania systemem — stosowanie poprawek systemu | 940 | Kiedy należy zastosować poprawki luk w zabezpieczeniach — 940 | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Wytyczne dotyczące zarządzania systemem — stosowanie poprawek systemu | 940 | Kiedy należy zastosować poprawki luk w zabezpieczeniach — 940 | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Wytyczne dotyczące kryptografii — Transport Layer Security | 1139 | Korzystanie z zabezpieczeń warstwy transportu — 1139 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Wytyczne dotyczące kryptografii — Transport Layer Security | 1139 | Korzystanie z zabezpieczeń warstwy transportu — 1139 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Wytyczne dotyczące kryptografii — Transport Layer Security | 1139 | Korzystanie z zabezpieczeń warstwy transportu — 1139 | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Wytyczne dotyczące kryptografii — Transport Layer Security | 1139 | Korzystanie z zabezpieczeń warstwy transportu — 1139 | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Wytyczne dotyczące zarządzania systemem — stosowanie poprawek systemu | 1144 | Kiedy należy zastosować poprawki luk w zabezpieczeniach — 1144 | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Wytyczne dotyczące zarządzania systemem — stosowanie poprawek systemu | 1144 | Kiedy należy zastosować poprawki luk w zabezpieczeniach — 1144 | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Wskazówki dotyczące sieci — projektowanie i konfiguracja sieci | 1182 | Kontrola dostępu do sieci — 1182 | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Wytyczne dotyczące systemów baz danych — serwery baz danych | 1277 | Komunikacja między serwerami baz danych a serwerami internetowymi — 1277 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Wytyczne dotyczące systemów baz danych — serwery baz danych | 1277 | Komunikacja między serwerami baz danych a serwerami internetowymi — 1277 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Wytyczne dotyczące systemów baz danych — serwery baz danych | 1277 | Komunikacja między serwerami baz danych a serwerami internetowymi — 1277 | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Wytyczne dotyczące systemów baz danych — serwery baz danych | 1277 | Komunikacja między serwerami baz danych a serwerami internetowymi — 1277 | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Wskazówki dotyczące bram — filtrowanie zawartości | 1288 | Skanowanie antywirusowe — 1288 | Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows | 1.1.0 |
| Wytyczne dotyczące zarządzania systemami — administracja systemem | 1386 | Ograniczenie przepływów ruchu związanego z zarządzaniem — 1386 | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń systemu operacyjnego | 1417 | Oprogramowanie antywirusowe — 1417 | Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows | 1.1.0 |
| Wytyczne dotyczące zarządzania systemem — stosowanie poprawek systemu | 1472 | Kiedy należy zastosować poprawki luk w zabezpieczeniach — 1472 | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Wytyczne dotyczące zarządzania systemem — stosowanie poprawek systemu | 1472 | Kiedy należy zastosować poprawki luk w zabezpieczeniach — 1472 | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Wytyczne dotyczące zarządzania systemem — stosowanie poprawek systemu | 1494 | Kiedy należy zastosować poprawki luk w zabezpieczeniach — 1494 | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Wytyczne dotyczące zarządzania systemem — stosowanie poprawek systemu | 1494 | Kiedy należy zastosować poprawki luk w zabezpieczeniach — 1494 | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Wytyczne dotyczące zarządzania systemem — stosowanie poprawek systemu | 1495 | Kiedy należy zastosować poprawki luk w zabezpieczeniach — 1495 | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Wytyczne dotyczące zarządzania systemem — stosowanie poprawek systemu | 1495 | Kiedy należy zastosować poprawki luk w zabezpieczeniach — 1495 | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Wytyczne dotyczące zarządzania systemem — stosowanie poprawek systemu | 1496 | Kiedy należy zastosować poprawki luk w zabezpieczeniach — 1496 | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Wytyczne dotyczące zarządzania systemem — stosowanie poprawek systemu | 1496 | Kiedy należy zastosować poprawki luk w zabezpieczeniach — 1496 | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1503 | Standardowy dostęp do systemów — 1503 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1503 | Standardowy dostęp do systemów — 1503 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1503 | Standardowy dostęp do systemów — 1503 | Przeprowadź inspekcję maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy | 2.0.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1503 | Standardowy dostęp do systemów — 1503 | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1507 | Uprzywilejowany dostęp do systemów — 1507 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1507 | Uprzywilejowany dostęp do systemów — 1507 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1507 | Uprzywilejowany dostęp do systemów — 1507 | Przeprowadź inspekcję maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy | 2.0.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1507 | Uprzywilejowany dostęp do systemów — 1507 | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1508 | Uprzywilejowany dostęp do systemów — 1508 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1508 | Uprzywilejowany dostęp do systemów — 1508 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1508 | Uprzywilejowany dostęp do systemów — 1508 | Przeprowadź inspekcję maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy | 2.0.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1508 | Uprzywilejowany dostęp do systemów — 1508 | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Wytyczne dotyczące zabezpieczeń personelu — dostęp do systemów i ich zasobów | 1508 | Uprzywilejowany dostęp do systemów — 1508 | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Wytyczne dotyczące zarządzania systemem — tworzenie i przywracanie kopii zapasowych danych | 1511 | Wykonywanie kopii zapasowych — 1511 | Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | 1.0.0 |
| Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń uwierzytelniania | 1546 | Uwierzytelnianie w systemach — 1546 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń uwierzytelniania | 1546 | Uwierzytelnianie w systemach — 1546 | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń uwierzytelniania | 1546 | Uwierzytelnianie w systemach — 1546 | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń uwierzytelniania | 1546 | Uwierzytelnianie w systemach — 1546 | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| Wytyczne dotyczące wzmacniania zabezpieczeń systemu — wzmacnianie zabezpieczeń uwierzytelniania | 1546 | Uwierzytelnianie w systemach — 1546 | Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | 3.1.0 |
Canada Federal PBMM
Aby dowiedzieć się, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — Canada Federal PBMM. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Canada Federal PBMM.
CIS Microsoft Azure Foundations Benchmark 1.1.0
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — CIS Microsoft Azure Foundations Benchmark 1.1.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 2 Security Center | 2.10 | Upewnij się, że domyślne ustawienie zasad usługi ASC "Monitorowanie oceny luk w zabezpieczeniach" nie jest "Wyłączone" | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| 2 Security Center | 2,12 | Upewnij się, że domyślne ustawienie zasad usługi ASC "Monitorowanie dostępu do sieci JIT" nie jest "Wyłączone" | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| 2 Security Center | 2,4 | Upewnij się, że domyślne ustawienie zasad usługi ASC "Monitorowanie luk w zabezpieczeniach systemu operacyjnego" nie jest "Wyłączone" | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| 2 Security Center | 2.9 | Upewnij się, że domyślne ustawienie zasad usługi ASC "Włącz monitorowanie zapory nowej generacji(NGFW) nie jest "wyłączone" | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| 7 Maszyny wirtualne | 7,4 | Upewnij się, że zainstalowano tylko zatwierdzone rozszerzenia | Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — CIS Microsoft Azure Foundations Benchmark 1.3.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 7 Maszyny wirtualne | 7.1 | Upewnij się, że maszyny wirtualne korzystają z Dyski zarządzane | Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | 1.0.0 |
| 7 Maszyny wirtualne | 7,4 | Upewnij się, że zainstalowano tylko zatwierdzone rozszerzenia | Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej | 1.0.0 |
| 7 Maszyny wirtualne | 7.6 | Upewnij się, że jest zainstalowana ochrona punktu końcowego dla wszystkich maszyn wirtualnych | Monitorowanie braku programu Endpoint Protection w usłudze Azure Security Center | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla modelu CIS w wersji 1.4.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 7 Maszyny wirtualne | 7.1 | Upewnij się, że maszyny wirtualne korzystają z Dyski zarządzane | Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | 1.0.0 |
| 7 Maszyny wirtualne | 7,4 | Upewnij się, że zainstalowane są tylko zatwierdzone rozszerzenia | Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
Aby dowiedzieć się, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Azure Policy Regulatory Compliance details for CIS v2.0.0 (Szczegóły zgodności z przepisami usługi Azure Policy w wersji 2.0.0). Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CIS Microsoft Azure Foundations Benchmark.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | Upewnij się, że stan "Zastosuj aktualizacje systemu" w usłudze Microsoft Defender to "Ukończono" | Maszyny należy skonfigurować do okresowego sprawdzania brakujących aktualizacji systemu | 3.7.0 |
| 6 | 6.1 | Upewnij się, że dostęp RDP z Internetu jest oceniany i ograniczony | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| 6 | 6,2 | Upewnij się, że dostęp SSH z Internetu jest oceniany i ograniczony | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| 7 | 7.2 | Upewnij się, że maszyny wirtualne korzystają z Dyski zarządzane | Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | 1.0.0 |
| 7 | 7,4 | Upewnij się, że "Niedołączone dyski" są szyfrowane przy użyciu klucza zarządzanego przez klienta (CMK) | Dyski zarządzane powinny być dwukrotnie szyfrowane przy użyciu kluczy zarządzanych przez platformę i zarządzanych przez klienta | 1.0.0 |
| 7 | 7.5 | Upewnij się, że zainstalowane są tylko zatwierdzone rozszerzenia | Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej | 1.0.0 |
CmMC Poziom 3
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz zgodność z przepisami usługi Azure Policy — poziom 3. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Certyfikacja modelu dojrzałości cyberbezpieczeństwa (CMMC).
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Kontrola dostępu | AC.1.001 | Ogranicz dostęp systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów informacyjnych). | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Kontrola dostępu | AC.1.001 | Ogranicz dostęp systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów informacyjnych). | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Kontrola dostępu | AC.1.001 | Ogranicz dostęp systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów informacyjnych). | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| Kontrola dostępu | AC.1.001 | Ogranicz dostęp systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów informacyjnych). | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Kontrola dostępu | AC.1.001 | Ogranicz dostęp systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów informacyjnych). | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Kontrola dostępu | AC.1.001 | Ogranicz dostęp systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów informacyjnych). | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | 3.0.0 |
| Kontrola dostępu | AC.1.001 | Ogranicz dostęp systemu informacyjnego do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów informacyjnych). | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Kontrola dostępu | AC.1.002 | Ogranicz dostęp systemu informacyjnego do typów transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać. | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| Kontrola dostępu | AC.1.002 | Ogranicz dostęp systemu informacyjnego do typów transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać. | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Kontrola dostępu | AC.1.002 | Ogranicz dostęp systemu informacyjnego do typów transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Kontrola dostępu | AC.1.002 | Ogranicz dostęp systemu informacyjnego do typów transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | 3.0.0 |
| Kontrola dostępu | AC.1.003 | Weryfikowanie i kontrolowanie/ograniczanie połączeń z zewnętrznymi systemami informacyjnym i korzystanie z nich. | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Kontrola dostępu | AC.2.007 | Zastosuj zasadę najniższych uprawnień, w tym dla określonych funkcji zabezpieczeń i uprzywilejowanych kont. | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Kontrola dostępu | AC.2.008 | Podczas uzyskiwania dostępu do funkcji niezwiązanych z zabezpieczeniami należy używać kont lub ról innych niż uprzywilejowane. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — kontrola konta użytkownika | 3.0.0 |
| Kontrola dostępu | AC.2.008 | Podczas uzyskiwania dostępu do funkcji niezwiązanych z zabezpieczeniami należy używać kont lub ról innych niż uprzywilejowane. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące przypisywania praw użytkownika | 3.0.0 |
| Kontrola dostępu | AC.2.013 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Kontrola dostępu | AC.2.013 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Kontrola dostępu | AC.2.013 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| Kontrola dostępu | AC.2.013 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Kontrola dostępu | AC.2.013 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Kontrola dostępu | AC.2.013 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Kontrola dostępu | AC.2.016 | Kontrolowanie przepływu cuI zgodnie z zatwierdzonymi autoryzacjami. | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Kontrola dostępu | AC.2.016 | Kontrolowanie przepływu cuI zgodnie z zatwierdzonymi autoryzacjami. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | 3.0.0 |
| Kontrola dostępu | AC.3.017 | Rozdziel obowiązki osób, aby zmniejszyć ryzyko złośliwych działań bez zmowy. | Inspekcja maszyn z systemem Windows bez określonych członków w grupie Administratorzy | 2.0.0 |
| Kontrola dostępu | AC.3.017 | Rozdziel obowiązki osób, aby zmniejszyć ryzyko złośliwych działań bez zmowy. | Przeprowadź inspekcję maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy | 2.0.0 |
| Kontrola dostępu | AC.3.018 | Uniemożliwiaj użytkownikom niebędącym uprzywilejowanym wykonywanie funkcji uprzywilejowanych i przechwytywanie wykonywania takich funkcji w dziennikach inspekcji. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — użycie uprawnień | 3.0.0 |
| Kontrola dostępu | AC.3.021 | Autoryzowanie zdalnego wykonywania uprzywilejowanych poleceń i dostępu zdalnego do informacji istotnych dla zabezpieczeń. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Kontrola dostępu | AC.3.021 | Autoryzowanie zdalnego wykonywania uprzywilejowanych poleceń i dostępu zdalnego do informacji istotnych dla zabezpieczeń. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Kontrola dostępu | AC.3.021 | Autoryzowanie zdalnego wykonywania uprzywilejowanych poleceń i dostępu zdalnego do informacji istotnych dla zabezpieczeń. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | 3.1.0 |
| Kontrola dostępu | AC.3.021 | Autoryzowanie zdalnego wykonywania uprzywilejowanych poleceń i dostępu zdalnego do informacji istotnych dla zabezpieczeń. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Kontrola dostępu | AC.3.021 | Autoryzowanie zdalnego wykonywania uprzywilejowanych poleceń i dostępu zdalnego do informacji istotnych dla zabezpieczeń. | Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | 1.0.3 |
| Kontrola dostępu | AC.3.021 | Autoryzowanie zdalnego wykonywania uprzywilejowanych poleceń i dostępu zdalnego do informacji istotnych dla zabezpieczeń. | Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | 1.0.1 |
| Kontrola dostępu | AC.3.021 | Autoryzowanie zdalnego wykonywania uprzywilejowanych poleceń i dostępu zdalnego do informacji istotnych dla zabezpieczeń. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — kontrola konta użytkownika | 3.0.0 |
| Kontrola dostępu | AC.3.021 | Autoryzowanie zdalnego wykonywania uprzywilejowanych poleceń i dostępu zdalnego do informacji istotnych dla zabezpieczeń. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące przypisywania praw użytkownika | 3.0.0 |
| Inspekcja i odpowiedzialność | AU.2.041 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Wersja zapoznawcza 2.0.1 |
| Inspekcja i odpowiedzialność | AU.2.041 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | 2.0.1 |
| Inspekcja i odpowiedzialność | AU.2.041 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | Rozszerzenie usługi Log Analytics powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | 1.0.1 |
| Inspekcja i odpowiedzialność | AU.2.041 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | Maszyny wirtualne powinny być połączone z określonym obszarem roboczym | 1.1.0 |
| Inspekcja i odpowiedzialność | AU.2.041 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | Maszyny wirtualne powinny mieć zainstalowane rozszerzenie usługi Log Analytics | 1.0.1 |
| Inspekcja i odpowiedzialność | AU.2.042 | Utwórz i zachowaj dzienniki i rekordy inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu. | [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Wersja zapoznawcza 2.0.1 |
| Inspekcja i odpowiedzialność | AU.2.042 | Utwórz i zachowaj dzienniki i rekordy inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu. | Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | 2.0.1 |
| Inspekcja i odpowiedzialność | AU.2.042 | Utwórz i zachowaj dzienniki i rekordy inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu. | Rozszerzenie usługi Log Analytics powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | 1.0.1 |
| Inspekcja i odpowiedzialność | AU.2.042 | Utwórz i zachowaj dzienniki i rekordy inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu. | Maszyny wirtualne powinny być połączone z określonym obszarem roboczym | 1.1.0 |
| Inspekcja i odpowiedzialność | AU.2.042 | Utwórz i zachowaj dzienniki i rekordy inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu. | Maszyny wirtualne powinny mieć zainstalowane rozszerzenie usługi Log Analytics | 1.0.1 |
| Inspekcja i odpowiedzialność | AU.3.046 | Alert w przypadku niepowodzenia procesu rejestrowania inspekcji. | [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Wersja zapoznawcza 2.0.1 |
| Inspekcja i odpowiedzialność | AU.3.046 | Alert w przypadku niepowodzenia procesu rejestrowania inspekcji. | Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | 2.0.1 |
| Inspekcja i odpowiedzialność | AU.3.046 | Alert w przypadku niepowodzenia procesu rejestrowania inspekcji. | Maszyny wirtualne powinny być połączone z określonym obszarem roboczym | 1.1.0 |
| Inspekcja i odpowiedzialność | AU.3.048 | Zbierz informacje o inspekcji (np. dzienniki) w co najmniej jednym centralnym repozytorium. | [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Wersja zapoznawcza 2.0.1 |
| Inspekcja i odpowiedzialność | AU.3.048 | Zbierz informacje o inspekcji (np. dzienniki) w co najmniej jednym centralnym repozytorium. | Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | 2.0.1 |
| Inspekcja i odpowiedzialność | AU.3.048 | Zbierz informacje o inspekcji (np. dzienniki) w co najmniej jednym centralnym repozytorium. | Rozszerzenie usługi Log Analytics powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | 1.0.1 |
| Inspekcja i odpowiedzialność | AU.3.048 | Zbierz informacje o inspekcji (np. dzienniki) w co najmniej jednym centralnym repozytorium. | Maszyny wirtualne powinny być połączone z określonym obszarem roboczym | 1.1.0 |
| Inspekcja i odpowiedzialność | AU.3.048 | Zbierz informacje o inspekcji (np. dzienniki) w co najmniej jednym centralnym repozytorium. | Maszyny wirtualne powinny mieć zainstalowane rozszerzenie usługi Log Analytics | 1.0.1 |
| Ocena zabezpieczeń | CA.2.158 | Okresowo oceniaj mechanizmy kontroli zabezpieczeń w systemach organizacyjnych, aby określić, czy mechanizmy kontroli są skuteczne w ich aplikacji. | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Ocena zabezpieczeń | CA.3.161 | Monitorowanie mechanizmów kontroli zabezpieczeń na bieżąco w celu zapewnienia ciągłej skuteczności mechanizmów kontroli. | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Zarządzanie konfiguracją | CM.2.061 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.2.0 |
| Zarządzanie konfiguracją | CM.2.062 | Zastosowanie zasady najmniejszych funkcji przez skonfigurowanie systemów organizacyjnych w celu zapewnienia tylko podstawowych możliwości. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — użycie uprawnień | 3.0.0 |
| Zarządzanie konfiguracją | CM.2.063 | Kontrolowanie i monitorowanie oprogramowania zainstalowanego przez użytkownika. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — kontrola konta użytkownika | 3.0.0 |
| Zarządzanie konfiguracją | CM.2.064 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Zarządzanie konfiguracją | CM.2.064 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Zarządzanie konfiguracją | CM.2.065 | Śledzenie, przeglądanie, zatwierdzanie lub odrzucanie zmian w systemach organizacyjnych oraz rejestrowanie ich. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — zmiana zasad | 3.0.0 |
| Zarządzanie konfiguracją | CM.3.068 | Ogranicz, wyłącz lub uniemożliwia korzystanie z programów, funkcji, portów, protokołów i usług. | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Zarządzanie konfiguracją | CM.3.068 | Ogranicz, wyłącz lub uniemożliwia korzystanie z programów, funkcji, portów, protokołów i usług. | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Zarządzanie konfiguracją | CM.3.068 | Ogranicz, wyłącz lub uniemożliwia korzystanie z programów, funkcji, portów, protokołów i usług. | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Zarządzanie konfiguracją | CM.3.068 | Ogranicz, wyłącz lub uniemożliwia korzystanie z programów, funkcji, portów, protokołów i usług. | Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Identyfikacja i uwierzytelnianie | IA.1.077 | Uwierzytelnianie (lub weryfikowanie) tożsamości tych użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów informacyjnych organizacji. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Identyfikacja i uwierzytelnianie | IA.1.077 | Uwierzytelnianie (lub weryfikowanie) tożsamości tych użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów informacyjnych organizacji. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Identyfikacja i uwierzytelnianie | IA.1.077 | Uwierzytelnianie (lub weryfikowanie) tożsamości tych użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów informacyjnych organizacji. | Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | 3.1.0 |
| Identyfikacja i uwierzytelnianie | IA.1.077 | Uwierzytelnianie (lub weryfikowanie) tożsamości tych użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów informacyjnych organizacji. | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| Identyfikacja i uwierzytelnianie | IA.1.077 | Uwierzytelnianie (lub weryfikowanie) tożsamości tych użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów informacyjnych organizacji. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Identyfikacja i uwierzytelnianie | IA.1.077 | Uwierzytelnianie (lub weryfikowanie) tożsamości tych użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów informacyjnych organizacji. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Identyfikacja i uwierzytelnianie | IA.2.078 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Identyfikacja i uwierzytelnianie | IA.2.078 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Identyfikacja i uwierzytelnianie | IA.2.078 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| Identyfikacja i uwierzytelnianie | IA.2.078 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | 2.0.0 |
| Identyfikacja i uwierzytelnianie | IA.2.078 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | 2.1.0 |
| Identyfikacja i uwierzytelnianie | IA.2.078 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Identyfikacja i uwierzytelnianie | IA.2.078 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Identyfikacja i uwierzytelnianie | IA.2.079 | Zakazać ponownego użycia hasła dla określonej liczby generacji. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Identyfikacja i uwierzytelnianie | IA.2.079 | Zakazać ponownego użycia hasła dla określonej liczby generacji. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Identyfikacja i uwierzytelnianie | IA.2.079 | Zakazać ponownego użycia hasła dla określonej liczby generacji. | Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | 2.1.0 |
| Identyfikacja i uwierzytelnianie | IA.2.079 | Zakazać ponownego użycia hasła dla określonej liczby generacji. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Identyfikacja i uwierzytelnianie | IA.2.079 | Zakazać ponownego użycia hasła dla określonej liczby generacji. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Identyfikacja i uwierzytelnianie | IA.2.081 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Identyfikacja i uwierzytelnianie | IA.2.081 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Identyfikacja i uwierzytelnianie | IA.2.081 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| Identyfikacja i uwierzytelnianie | IA.2.081 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Identyfikacja i uwierzytelnianie | IA.2.081 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Identyfikacja i uwierzytelnianie | IA.3.084 | Stosowanie mechanizmów uwierzytelniania odpornych na odtwarzanie w celu uzyskania dostępu sieciowego do uprzywilejowanych i nieuprzywilejowanych kont. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Odzyskiwanie | RE.2.137 | Regularnie przeprowadzaj i testuj kopie zapasowe danych. | Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | 1.0.0 |
| Odzyskiwanie | RE.2.137 | Regularnie przeprowadzaj i testuj kopie zapasowe danych. | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
| Odzyskiwanie | RE.3.139 | Regularne wykonywanie pełnych, kompleksowych i odpornych kopii zapasowych danych jako zdefiniowanych w organizacji. | Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | 1.0.0 |
| Odzyskiwanie | RE.3.139 | Regularne wykonywanie pełnych, kompleksowych i odpornych kopii zapasowych danych jako zdefiniowanych w organizacji. | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
| Ocena ryzyka | RM.2.141 | Okresowo oceniać ryzyko operacji organizacyjnych (w tym misji, funkcji, obrazu lub reputacji), zasobów organizacyjnych i osób fizycznych, wynikających z działania systemów organizacyjnych oraz skojarzonego przetwarzania, przechowywania lub przesyłania cuI. | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Ocena ryzyka | RM.2.142 | Okresowo skanuj pod kątem luk w zabezpieczeniach w systemach organizacyjnych i aplikacjach oraz gdy zostaną zidentyfikowane nowe luki w zabezpieczeniach wpływające na te systemy i aplikacje. | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Ocena ryzyka | RM.2.143 | Korygowanie luk w zabezpieczeniach zgodnie z ocenami ryzyka. | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Ocena ryzyka | RM.2.143 | Korygowanie luk w zabezpieczeniach zgodnie z ocenami ryzyka. | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | 3.0.0 |
| Ochrona systemu i komunikacji | SC.1.175 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Ochrona systemu i komunikacji | SC.1.176 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Ochrona systemu i komunikacji | SC.1.176 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | SC.2.179 | Użyj zaszyfrowanych sesji do zarządzania urządzeniami sieciowymi. | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Ochrona systemu i komunikacji | SC.3.177 | Stosowanie kryptografii zweryfikowanej przez standard FIPS w przypadku ochrony poufności cuI. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| Ochrona systemu i komunikacji | SC.3.181 | Oddziel funkcje użytkownika od funkcji zarządzania systemem. | Przeprowadź inspekcję maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy | 2.0.0 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | 3.0.0 |
| Ochrona systemu i komunikacji | SC.3.183 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Ochrona systemu i komunikacji | SC.3.185 | Zaimplementuj mechanizmy kryptograficzne, aby zapobiec nieautoryzowanemu ujawnieniu cuI podczas transmisji, chyba że są chronione w inny sposób przez alternatywne zabezpieczenia fizyczne. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Ochrona systemu i komunikacji | SC.3.190 | Ochrona autentyczności sesji komunikacyjnych. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Integralność systemu i informacji | SI.1.210 | Identyfikowanie, zgłaszanie i poprawianie błędów systemu informacji i informacji w odpowiednim czasie. | Program Microsoft Antimalware dla platformy Azure powinien być skonfigurowany do automatycznego aktualizowania podpisów ochrony | 1.0.0 |
| Integralność systemu i informacji | SI.1.210 | Identyfikowanie, zgłaszanie i poprawianie błędów systemu informacji i informacji w odpowiednim czasie. | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Integralność systemu i informacji | SI.1.211 | Zapewnij ochronę przed złośliwym kodem w odpowiednich lokalizacjach w systemach informacyjnych organizacji. | Program Microsoft Antimalware dla platformy Azure powinien być skonfigurowany do automatycznego aktualizowania podpisów ochrony | 1.0.0 |
| Integralność systemu i informacji | SI.1.211 | Zapewnij ochronę przed złośliwym kodem w odpowiednich lokalizacjach w systemach informacyjnych organizacji. | Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows | 1.1.0 |
| Integralność systemu i informacji | SI.1.212 | Zaktualizuj mechanizmy ochrony złośliwego kodu, gdy są dostępne nowe wersje. | Program Microsoft Antimalware dla platformy Azure powinien być skonfigurowany do automatycznego aktualizowania podpisów ochrony | 1.0.0 |
| Integralność systemu i informacji | SI.1.213 | Przeprowadzaj okresowe skanowania systemu informacyjnego i skanowania plików ze źródeł zewnętrznych w czasie rzeczywistym, gdy pliki są pobierane, otwierane lub wykonywane. | Program Microsoft Antimalware dla platformy Azure powinien być skonfigurowany do automatycznego aktualizowania podpisów ochrony | 1.0.0 |
| Integralność systemu i informacji | SI.1.213 | Przeprowadzaj okresowe skanowania systemu informacyjnego i skanowania plików ze źródeł zewnętrznych w czasie rzeczywistym, gdy pliki są pobierane, otwierane lub wykonywane. | Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows | 1.1.0 |
FedRAMP High
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz zgodność z przepisami usługi Azure Policy — FedRAMP High. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz FedRAMP High.
FedRAMP Moderate
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — FedRAMP Moderate. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz FedRAMP Moderate.
HIPAA HITRUST 9.2
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — HIPAA HITRUST 9.2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz HIPAA HITRUST 9.2.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Identyfikacja i uwierzytelnianie użytkowników | 11210.01q2Organizational.10 – 01.q | Podpisy elektroniczne i podpisy odręczne wykonywane w rejestrach elektronicznych są powiązane z odpowiednimi zapisami elektronicznymi. | Przeprowadź inspekcję maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy | 2.0.0 |
| Identyfikacja i uwierzytelnianie użytkowników | 11211.01q2Organizational.11 - 01.q | Podpisane zapisy elektroniczne zawierają informacje związane z podpisywaniem w formacie czytelnym dla człowieka. | Inspekcja maszyn z systemem Windows bez określonych członków w grupie Administratorzy | 2.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protection Against Malicious and Mobile Code (Ochrona przed złośliwym i mobilnym kodem) | Wdrażanie domyślnego rozszerzenia Microsoft IaaSAntimalware dla systemu Windows Server | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Protection Against Malicious and Mobile Code (Ochrona przed złośliwym i mobilnym kodem) | Program Microsoft Antimalware dla platformy Azure powinien być skonfigurowany do automatycznego aktualizowania podpisów ochrony | 1.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Zabezpieczenia plików systemowych | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Zabezpieczenia plików systemowych | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — inspekcja | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Zabezpieczenia plików systemowych | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — zarządzanie kontami | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0642.10k3Organizacja.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0643.10k3Organizacja.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Security In Development and Support Processes | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 06 Configuration Management (Zarządzanie konfiguracją 06) | 0644.10k3Organizacja.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Security In Development and Support Processes (Zabezpieczenia w procesach tworzenia i obsługi technicznej) | Maszyny z systemem Windows powinny spełniać wymagania dotyczące zasad inspekcji systemu — szczegółowe śledzenie | 3.0.0 |
| 07 Zarządzanie lukami w zabezpieczeniach | 0709.10m1Organizacja.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Technical Vulnerability Management | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| 07 Zarządzanie lukami w zabezpieczeniach | 0709.10m1Organizacja.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Technical Vulnerability Management | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| 07 Zarządzanie lukami w zabezpieczeniach | 0709.10m1Organizacja.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Technical Vulnerability Management | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — Microsoft Network Server | 3.0.0 |
| 07 Zarządzanie lukami w zabezpieczeniach | 0711.10m2Organizacja.23-10.m | 0711.10m2Organizational.23-10.m 10.06 Technical Vulnerability Management | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| 07 Zarządzanie lukami w zabezpieczeniach | 0713.10m2Organizacja.5-10.m | 0713.10m2Organizational.5-10.m 10.06 Technical Vulnerability Management | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| 07 Zarządzanie lukami w zabezpieczeniach | 0718.10m3Organizacja.34-10.m | 0718.10m3Organizational.34-10.m 10.06 Technical Vulnerability Management | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| 08 Ochrona sieci | 0805.01m1Organizacja.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Network Access Control | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0806.01m2Organizacja.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Network Access Control | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Network Access Control | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Network Access Control | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Network Access Control | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Network Access Control | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0814.01n1Organizacja.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Network Access Control | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| 08 Ochrona sieci | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Network Security Management | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | 1.0.2—wersja zapoznawcza |
| 08 Ochrona sieci | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Network Security Management | Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | 1.0.0 |
| 08 Ochrona sieci | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 Network Security Management | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | 1.0.2—wersja zapoznawcza |
| 08 Ochrona sieci | 0858.09m1Organizacja.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Network Security Management | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| 08 Ochrona sieci | 0858.09m1Organizacja.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Network Security Management | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| 08 Ochrona sieci | 0858.09m1Organizacja.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Network Security Management | Maszyny z systemem Windows powinny spełniać wymagania dotyczące właściwości zapory systemu Windows | 3.0.0 |
| 08 Ochrona sieci | 0861.09m2Organizacja.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Network Security Management | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — dostęp sieciowy | 3.0.0 |
| 08 Ochrona sieci | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 Network Security Management | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | 1.0.2—wersja zapoznawcza |
| 08 Ochrona sieci | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 Network Security Management | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | 1.0.2—wersja zapoznawcza |
| 08 Ochrona sieci | 0894.01m2Organizacja.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Network Access Control | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Tworzenie kopii zapasowej | 1699.09l1Organizational.10 - 09.l | Role i obowiązki pracowników w procesie tworzenia kopii zapasowych danych są identyfikowane i przekazywane pracownikom; w szczególności użytkownicy byOD (Bring Your Own Device) muszą wykonywać kopie zapasowe danych organizacyjnych i/lub klientów na swoich urządzeniach. | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
| 09 Ochrona transmisji | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Electronic Commerce Services | Przeprowadź inspekcję maszyn z systemem Windows, które nie zawierają określonych certyfikatów w zaufanym katalogu głównym | 3.0.0 |
| 11 Kontrola dostępu | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Autoryzowany dostęp do systemów informacyjnych | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| 11 Kontrola dostępu | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 Network Access Control | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| 11 Kontrola dostępu | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Kontrola dostępu systemu operacyjnego | Inspekcja maszyn z systemem Windows z dodatkowymi kontami w grupie Administratorzy | 2.0.0 |
| 11 Kontrola dostępu | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Kontrola dostępu do systemu operacyjnego | Przeprowadź inspekcję maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy | 2.0.0 |
| 11 Kontrola dostępu | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Kontrola dostępu systemu operacyjnego | Inspekcja maszyn z systemem Windows bez określonych członków w grupie Administratorzy | 2.0.0 |
| 11 Kontrola dostępu | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Autoryzowany dostęp do systemów informacyjnych | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| 11 Kontrola dostępu | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Autoryzowany dostęp do systemów informacyjnych | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — konta | 3.0.0 |
| 11 Kontrola dostępu | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Autoryzowany dostęp do systemów informacyjnych | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| 11 Kontrola dostępu | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 Network Access Control | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| 11 Kontrola dostępu | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Network Access Control | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| 11 Kontrola dostępu | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 Network Access Control | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| 11 Kontrola dostępu | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 Network Access Control | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| 12 Inspekcja rejestrowania i monitorowania | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 Monitorowanie | Maszyny wirtualne powinny mieć zainstalowane rozszerzenie usługi Log Analytics | 1.0.1 |
| 12 Inspekcja rejestrowania i monitorowania | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Monitoring | Rozszerzenie usługi Log Analytics powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | 1.0.1 |
| 12 Inspekcja rejestrowania i monitorowania | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Monitoring | Inspekcja maszyn z systemem Windows, na których agent usługi Log Analytics nie jest połączony zgodnie z oczekiwaniami | 2.0.0 |
| 12 Inspekcja rejestrowania i monitorowania | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 Monitorowanie | Maszyny wirtualne powinny mieć zainstalowane rozszerzenie usługi Log Analytics | 1.0.1 |
| 12 Inspekcja rejestrowania i monitorowania | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Monitorowanie | Rozszerzenie usługi Log Analytics powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | 1.0.1 |
| 12 Inspekcja rejestrowania i monitorowania | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Monitorowanie | Inspekcja maszyn z systemem Windows, na których agent usługi Log Analytics nie jest połączony zgodnie z oczekiwaniami | 2.0.0 |
| 12 Inspekcja rejestrowania i monitorowania | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Udokumentowane procedury operacyjne | Maszyny z systemem Windows powinny spełniać wymagania dotyczące przypisywania praw użytkownika | 3.0.0 |
| 12 Inspekcja rejestrowania i monitorowania | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 Udokumentowane procedury operacyjne | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — kontrola konta użytkownika | 3.0.0 |
| 16 Ciągłość działania i odzyskiwanie po awarii | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Information Back-up | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
| 16 Ciągłość działania i odzyskiwanie po awarii | 1625.09l3Organizacja.34-09.l | 1625.09l3Organizational.34-09.l 09.05 Information Back-up | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
| 16 Ciągłość działania i odzyskiwanie po awarii | 1634.12b1Organizacja.1-12.b | 1634.12b1Organizacja.1-12.b 12.01 Aspekty zabezpieczeń informacji zarządzania ciągłością działania | Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | 1.0.0 |
| 16 Ciągłość działania i odzyskiwanie po awarii | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Information Security Aspects of Business Continuity Management | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — konsola odzyskiwania | 3.0.0 |
| 16 Ciągłość działania i odzyskiwanie po awarii | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Information Security Aspects of Business Continuity Management | Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | 1.0.0 |
IRS 1075 września 2016 r.
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — IRS 1075 wrzesień 2016. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz IRS 1075 wrzesień 2016.
ISO 27001:2013
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — ISO 27001:2013. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz ISO 27001:2013.
Zasady poufne punktu odniesienia dla chmury firmy Microsoft dla suwerenności
Aby dowiedzieć się, w jaki sposób dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla zasad poufnych punktu odniesienia suwerenności MCfS. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Portfolio zasad suwerenności usługi Microsoft Cloud for Sovereignty Policy.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| SO.3 — Klucze zarządzane przez klienta | SO.3 | Produkty platformy Azure muszą być skonfigurowane do korzystania z kluczy zarządzanych przez klienta, jeśli jest to możliwe. | Dyski zarządzane powinny być dwukrotnie szyfrowane przy użyciu kluczy zarządzanych przez platformę i zarządzanych przez klienta | 1.0.0 |
| SO.4 — Poufne przetwarzanie na platformie Azure | SO.4 | Produkty platformy Azure muszą być skonfigurowane do korzystania z jednostek SKU usługi Azure Confidential Computing, jeśli to możliwe. | Dozwolone jednostki SKU rozmiaru maszyny wirtualnej | 1.0.1 |
Globalne zasady planu bazowego chmury dla suwerenności firmy Microsoft
Aby dowiedzieć się, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla zasad globalnych punktu odniesienia suwerenności MCfS. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Portfolio zasad suwerenności usługi Microsoft Cloud for Sovereignty Policy.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| SO.5 — zaufane uruchamianie | SO.5 | Jeśli to możliwe, maszyny wirtualne powinny być skonfigurowane z włączonymi zaufanymi jednostkami SKU uruchamiania i zaufanym uruchamianiem. | Dyski i obraz systemu operacyjnego powinny obsługiwać usługę TrustedLaunch | 1.0.0 |
| SO.5 — zaufane uruchamianie | SO.5 | Jeśli to możliwe, maszyny wirtualne powinny być skonfigurowane z włączonymi zaufanymi jednostkami SKU uruchamiania i zaufanym uruchamianiem. | Maszyna wirtualna powinna mieć włączoną opcję TrustedLaunch | 1.0.0 |
Wzorzec bezpieczeństwa w chmurze Microsoft
Test porównawczy zabezpieczeń w chmurze firmy Microsoft zawiera zalecenia dotyczące sposobu zabezpieczania rozwiązań w chmurze na platformie Azure. Aby zobaczyć, jak ta usługa całkowicie mapuje się na test porównawczy zabezpieczeń w chmurze firmy Microsoft, zobacz pliki mapowania testów porównawczych zabezpieczeń platformy Azure.
Aby dowiedzieć się, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Artykuł Azure Policy Regulatory Compliance — Microsoft Cloud Security Benchmark (Zgodność z przepisami usługi Azure Policy — test porównawczy zabezpieczeń w chmurze firmy Microsoft).
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Bezpieczeństwo sieci | NS-1 | Ustanawianie granic segmentacji sieci | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Bezpieczeństwo sieci | NS-1 | Ustanawianie granic segmentacji sieci | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Bezpieczeństwo sieci | NS-1 | Ustanawianie granic segmentacji sieci | Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Bezpieczeństwo sieci | NS-3 | Wdrażanie zapory na brzegu sieci przedsiębiorstwa | Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | 3.0.0 |
| Bezpieczeństwo sieci | NS-3 | Wdrażanie zapory na brzegu sieci przedsiębiorstwa | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Bezpieczeństwo sieci | NS-3 | Wdrażanie zapory na brzegu sieci przedsiębiorstwa | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| Zarządzanie tożsamością | Im-3 | Bezpieczne i automatyczne zarządzanie tożsamościami aplikacji | Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | 1.0.1 |
| Zarządzanie tożsamością | Im-6 | Używanie kontrolek silnego uwierzytelniania | Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | 3.2.0 |
| Zarządzanie tożsamością | Im-8 | Ograniczanie ujawnienia poświadczeń i wpisów tajnych | Maszyny powinny mieć rozpoznane wyniki wpisów tajnych | 1.0.2 |
| Dostęp uprzywilejowany | PA-2 | Unikaj stałego dostępu dla kont i uprawnień | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Ochrona danych | DP-3 | Szyfrowanie poufnych danych przesyłanych | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Ochrona danych | DP-4 | Włączanie szyfrowania danych magazynowanych domyślnie | Maszyny wirtualne z systemem Linux powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost. | 1.2.1 |
| Ochrona danych | DP-4 | Włączanie szyfrowania danych magazynowanych domyślnie | Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście | 1.0.0 |
| Ochrona danych | DP-4 | Włączanie szyfrowania danych magazynowanych domyślnie | Maszyny wirtualne z systemem Windows powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost. | 1.1.1 |
| Zarządzanie zasobami | AM-2 | Używanie tylko zatwierdzonych usług | Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | 1.0.0 |
| Rejestrowanie i wykrywanie zagrożeń | LT-1 | Włączanie możliwości wykrywania zagrożeń | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Rejestrowanie i wykrywanie zagrożeń | LT-2 | Włączanie wykrywania zagrożeń na potrzeby zarządzania tożsamościami i dostępem | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Rejestrowanie i wykrywanie zagrożeń | LT-4 | Włączanie rejestrowania sieci na potrzeby badania zabezpieczeń | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | 1.0.2—wersja zapoznawcza |
| Rejestrowanie i wykrywanie zagrożeń | LT-4 | Włączanie rejestrowania sieci na potrzeby badania zabezpieczeń | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | 1.0.2—wersja zapoznawcza |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-4 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux | Wersja zapoznawcza 6.0.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-4 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux | Wersja zapoznawcza 5.1.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-4 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows | 4.0.0-preview |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-4 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows | 3.1.0-preview |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-4 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych | [Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny używać tylko podpisanych i zaufanych składników rozruchu | 1.0.0-preview |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-4 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych | [Wersja zapoznawcza]: Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows | 4.0.0-preview |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-4 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych | [Wersja zapoznawcza]: maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych | 2.0.0-preview |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-4 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych | Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | 1.0.3 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-4 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych | Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.2.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-4 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych | Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | 1.0.1 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-4 | Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych | Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.0.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-5 | Przeprowadzanie ocen luk w zabezpieczeniach | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-5 | Przeprowadzanie ocen luk w zabezpieczeniach | Maszyny powinny mieć rozpoznane wyniki wpisów tajnych | 1.0.2 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-6 | Szybkie i automatyczne korygowanie luk w zabezpieczeniach | Maszyny należy skonfigurować do okresowego sprawdzania brakujących aktualizacji systemu | 3.7.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-6 | Szybkie i automatyczne korygowanie luk w zabezpieczeniach | Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | 1.0.0 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-6 | Szybkie i automatyczne korygowanie luk w zabezpieczeniach | Aktualizacje systemu powinny być instalowane na maszynach (obsługiwane przez Centrum aktualizacji) | 1.0.1 |
| Zarządzanie lukami w zabezpieczeniach i stanem | PV-6 | Szybkie i automatyczne korygowanie luk w zabezpieczeniach | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Zabezpieczenia punktu końcowego | ES-2 | Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Kopia zapasowa i odzyskiwanie | BR-1 | Zapewnianie regularnych automatycznych kopii zapasowych | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
| Kopia zapasowa i odzyskiwanie | BR-2 | Ochrona danych kopii zapasowej i odzyskiwania | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
NIST SP 800-171 R2
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — NIST SP 800-171 R2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-171 R2.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Kontrola dostępu | 3.1.1 | Ogranicz dostęp systemowy do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów). | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Kontrola dostępu | 3.1.1 | Ogranicz dostęp systemowy do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów). | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Kontrola dostępu | 3.1.1 | Ogranicz dostęp systemowy do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów). | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| Kontrola dostępu | 3.1.1 | Ogranicz dostęp systemowy do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów). | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| Kontrola dostępu | 3.1.1 | Ogranicz dostęp systemowy do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów). | Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | 3.2.0 |
| Kontrola dostępu | 3.1.1 | Ogranicz dostęp systemowy do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów). | Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | 3.1.0 |
| Kontrola dostępu | 3.1.1 | Ogranicz dostęp systemowy do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów). | Zasoby dostępu do dysku powinny używać łącza prywatnego | 1.0.0 |
| Kontrola dostępu | 3.1.1 | Ogranicz dostęp systemowy do autoryzowanych użytkowników, procesów działających w imieniu autoryzowanych użytkowników i urządzeń (w tym innych systemów). | Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | 1.0.0 |
| Kontrola dostępu | 3.1.12 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Kontrola dostępu | 3.1.12 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Kontrola dostępu | 3.1.12 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| Kontrola dostępu | 3.1.12 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | 3.1.0 |
| Kontrola dostępu | 3.1.12 | Monitorowanie i kontrolowanie sesji dostępu zdalnego. | Zasoby dostępu do dysku powinny używać łącza prywatnego | 1.0.0 |
| Kontrola dostępu | 3.1.13 | Stosowanie mechanizmów kryptograficznych w celu ochrony poufności sesji dostępu zdalnego. | Zasoby dostępu do dysku powinny używać łącza prywatnego | 1.0.0 |
| Kontrola dostępu | 3.1.14 | Kierowanie dostępu zdalnego za pośrednictwem zarządzanych punktów kontroli dostępu. | Zasoby dostępu do dysku powinny używać łącza prywatnego | 1.0.0 |
| Kontrola dostępu | 3.1.2 | Ogranicz dostęp systemu do typów transakcji i funkcji, które autoryzowani użytkownicy mogą wykonywać. | Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | 1.0.0 |
| Kontrola dostępu | 3.1.3 | Kontrolowanie przepływu cuI zgodnie z zatwierdzonymi autoryzacjami. | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Kontrola dostępu | 3.1.3 | Kontrolowanie przepływu cuI zgodnie z zatwierdzonymi autoryzacjami. | Zasoby dostępu do dysku powinny używać łącza prywatnego | 1.0.0 |
| Kontrola dostępu | 3.1.3 | Kontrolowanie przepływu cuI zgodnie z zatwierdzonymi autoryzacjami. | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Kontrola dostępu | 3.1.3 | Kontrolowanie przepływu cuI zgodnie z zatwierdzonymi autoryzacjami. | Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | 3.0.0 |
| Kontrola dostępu | 3.1.3 | Kontrolowanie przepływu cuI zgodnie z zatwierdzonymi autoryzacjami. | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Kontrola dostępu | 3.1.3 | Kontrolowanie przepływu cuI zgodnie z zatwierdzonymi autoryzacjami. | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| Kontrola dostępu | 3.1.3 | Kontrolowanie przepływu cuI zgodnie z zatwierdzonymi autoryzacjami. | Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Kontrola dostępu | 3.1.4 | Rozdziel obowiązki osób, aby zmniejszyć ryzyko złośliwych działań bez zmowy. | Inspekcja maszyn z systemem Windows bez określonych członków w grupie Administratorzy | 2.0.0 |
| Kontrola dostępu | 3.1.4 | Rozdziel obowiązki osób, aby zmniejszyć ryzyko złośliwych działań bez zmowy. | Przeprowadź inspekcję maszyn z systemem Windows, które mają określonych członków w grupie Administratorzy | 2.0.0 |
| Ocena ryzyka | 3.11.2 | Okresowo skanuj pod kątem luk w zabezpieczeniach w systemach organizacyjnych i aplikacjach oraz gdy zostaną zidentyfikowane nowe luki w zabezpieczeniach wpływające na te systemy i aplikacje. | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Ocena ryzyka | 3.11.2 | Okresowo skanuj pod kątem luk w zabezpieczeniach w systemach organizacyjnych i aplikacjach oraz gdy zostaną zidentyfikowane nowe luki w zabezpieczeniach wpływające na te systemy i aplikacje. | Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | 1.0.0 |
| Ocena ryzyka | 3.11.2 | Okresowo skanuj pod kątem luk w zabezpieczeniach w systemach organizacyjnych i aplikacjach oraz gdy zostaną zidentyfikowane nowe luki w zabezpieczeniach wpływające na te systemy i aplikacje. | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Ocena ryzyka | 3.11.3 | Korygowanie luk w zabezpieczeniach zgodnie z ocenami ryzyka. | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Ocena ryzyka | 3.11.3 | Korygowanie luk w zabezpieczeniach zgodnie z ocenami ryzyka. | Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | 1.0.0 |
| Ocena ryzyka | 3.11.3 | Korygowanie luk w zabezpieczeniach zgodnie z ocenami ryzyka. | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Ochrona systemu i komunikacji | 3.13.1 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.1 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Zasoby dostępu do dysku powinny używać łącza prywatnego | 1.0.0 |
| Ochrona systemu i komunikacji | 3.13.1 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.1 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.1 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.1 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.1 | Monitoruj, kontroluje i chroni komunikację (tj. informacje przesyłane lub odbierane przez systemy organizacyjne) na granicach zewnętrznych i kluczowych granicach wewnętrznych systemów organizacyjnych. | Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.10 | Ustanów klucze kryptograficzne dla kryptografii stosowanej w systemach organizacyjnych i zarządzaj nimi. | Dyski zarządzane powinny być dwukrotnie szyfrowane przy użyciu kluczy zarządzanych przez platformę i zarządzanych przez klienta | 1.0.0 |
| Ochrona systemu i komunikacji | 3.13.10 | Ustanów klucze kryptograficzne dla kryptografii stosowanej w systemach organizacyjnych i zarządzaj nimi. | Dyski systemu operacyjnego i danych powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.16 | Ochrona poufności aktualizacji CUI magazynowanych. | Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście | 1.0.0 |
| Ochrona systemu i komunikacji | 3.13.2 | Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych. | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.2 | Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych. | Zasoby dostępu do dysku powinny używać łącza prywatnego | 1.0.0 |
| Ochrona systemu i komunikacji | 3.13.2 | Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych. | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.2 | Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych. | Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.2 | Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych. | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.2 | Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych. | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.2 | Stosowanie projektów architektonicznych, technik tworzenia oprogramowania i zasad inżynierii systemów, które promują skuteczne zabezpieczenia informacji w systemach organizacyjnych. | Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.5 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.5 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Zasoby dostępu do dysku powinny używać łącza prywatnego | 1.0.0 |
| Ochrona systemu i komunikacji | 3.13.5 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.5 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.5 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.5 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.5 | Zaimplementuj podsieć dla publicznie dostępnych składników systemowych, które są fizycznie lub logicznie oddzielone od sieci wewnętrznych. | Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.6 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.6 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.6 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.6 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.6 | Odmów ruchu komunikacji sieciowej domyślnie i zezwalaj na ruch sieciowy przez wyjątek (tj. odmów wszystkich, zezwól na wyjątek). | Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Ochrona systemu i komunikacji | 3.13.8 | Zaimplementuj mechanizmy kryptograficzne, aby zapobiec nieautoryzowanemu ujawnieniu cuI podczas transmisji, chyba że są chronione w inny sposób przez alternatywne zabezpieczenia fizyczne. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Integralność systemu i informacji | 3.14.1 | Identyfikowanie, zgłaszanie i poprawianie błędów systemu w odpowiednim czasie. | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Integralność systemu i informacji | 3.14.1 | Identyfikowanie, zgłaszanie i poprawianie błędów systemu w odpowiednim czasie. | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Integralność systemu i informacji | 3.14.1 | Identyfikowanie, zgłaszanie i poprawianie błędów systemu w odpowiednim czasie. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Integralność systemu i informacji | 3.14.2 | Zapewnij ochronę przed złośliwym kodem w wyznaczonych lokalizacjach w systemach organizacyjnych. | Program Microsoft Antimalware dla platformy Azure powinien być skonfigurowany do automatycznego aktualizowania podpisów ochrony | 1.0.0 |
| Integralność systemu i informacji | 3.14.2 | Zapewnij ochronę przed złośliwym kodem w wyznaczonych lokalizacjach w systemach organizacyjnych. | Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows | 1.1.0 |
| Integralność systemu i informacji | 3.14.2 | Zapewnij ochronę przed złośliwym kodem w wyznaczonych lokalizacjach w systemach organizacyjnych. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Integralność systemu i informacji | 3.14.4 | Zaktualizuj mechanizmy ochrony złośliwego kodu, gdy są dostępne nowe wersje. | Program Microsoft Antimalware dla platformy Azure powinien być skonfigurowany do automatycznego aktualizowania podpisów ochrony | 1.0.0 |
| Integralność systemu i informacji | 3.14.4 | Zaktualizuj mechanizmy ochrony złośliwego kodu, gdy są dostępne nowe wersje. | Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows | 1.1.0 |
| Integralność systemu i informacji | 3.14.4 | Zaktualizuj mechanizmy ochrony złośliwego kodu, gdy są dostępne nowe wersje. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Integralność systemu i informacji | 3.14.5 | Przeprowadzaj okresowe skanowania systemów organizacyjnych i skanowania plików ze źródeł zewnętrznych w czasie rzeczywistym, gdy pliki są pobierane, otwierane lub wykonywane. | Program Microsoft Antimalware dla platformy Azure powinien być skonfigurowany do automatycznego aktualizowania podpisów ochrony | 1.0.0 |
| Integralność systemu i informacji | 3.14.5 | Przeprowadzaj okresowe skanowania systemów organizacyjnych i skanowania plików ze źródeł zewnętrznych w czasie rzeczywistym, gdy pliki są pobierane, otwierane lub wykonywane. | Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows | 1.1.0 |
| Integralność systemu i informacji | 3.14.5 | Przeprowadzaj okresowe skanowania systemów organizacyjnych i skanowania plików ze źródeł zewnętrznych w czasie rzeczywistym, gdy pliki są pobierane, otwierane lub wykonywane. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Integralność systemu i informacji | 3.14.6 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | 1.0.2—wersja zapoznawcza |
| Integralność systemu i informacji | 3.14.6 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | 1.0.2—wersja zapoznawcza |
| Integralność systemu i informacji | 3.14.6 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | 1.0.3 |
| Integralność systemu i informacji | 3.14.6 | Monitorowanie systemów organizacyjnych, w tym ruchu komunikacji przychodzącej i wychodzącej, w celu wykrywania ataków i wskaźników potencjalnych ataków. | Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | 1.0.1 |
| Integralność systemu i informacji | 3.14.7 | Identyfikowanie nieautoryzowanego użycia systemów organizacyjnych. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | 1.0.2—wersja zapoznawcza |
| Integralność systemu i informacji | 3.14.7 | Identyfikowanie nieautoryzowanego użycia systemów organizacyjnych. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | 1.0.2—wersja zapoznawcza |
| Integralność systemu i informacji | 3.14.7 | Identyfikowanie nieautoryzowanego użycia systemów organizacyjnych. | Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | 1.0.3 |
| Integralność systemu i informacji | 3.14.7 | Identyfikowanie nieautoryzowanego użycia systemów organizacyjnych. | Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | 1.0.1 |
| Inspekcja i odpowiedzialność | 3.3.1 | Tworzenie i przechowywanie dzienników i rekordów inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | 1.0.2—wersja zapoznawcza |
| Inspekcja i odpowiedzialność | 3.3.1 | Tworzenie i przechowywanie dzienników i rekordów inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | 1.0.2—wersja zapoznawcza |
| Inspekcja i odpowiedzialność | 3.3.1 | Tworzenie i przechowywanie dzienników i rekordów inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu | Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | 1.0.3 |
| Inspekcja i odpowiedzialność | 3.3.1 | Tworzenie i przechowywanie dzienników i rekordów inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu | Rozszerzenie usługi Log Analytics powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | 1.0.1 |
| Inspekcja i odpowiedzialność | 3.3.1 | Tworzenie i przechowywanie dzienników i rekordów inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu | Maszyny wirtualne powinny być połączone z określonym obszarem roboczym | 1.1.0 |
| Inspekcja i odpowiedzialność | 3.3.1 | Tworzenie i przechowywanie dzienników i rekordów inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu | Maszyny wirtualne powinny mieć zainstalowane rozszerzenie usługi Log Analytics | 1.0.1 |
| Inspekcja i odpowiedzialność | 3.3.1 | Tworzenie i przechowywanie dzienników i rekordów inspekcji systemu w zakresie wymaganym do włączenia monitorowania, analizy, badania i raportowania bezprawnej lub nieautoryzowanej aktywności systemu | Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | 1.0.1 |
| Inspekcja i odpowiedzialność | 3.3.2 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | 1.0.2—wersja zapoznawcza |
| Inspekcja i odpowiedzialność | 3.3.2 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | 1.0.2—wersja zapoznawcza |
| Inspekcja i odpowiedzialność | 3.3.2 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | 1.0.3 |
| Inspekcja i odpowiedzialność | 3.3.2 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | Rozszerzenie usługi Log Analytics powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | 1.0.1 |
| Inspekcja i odpowiedzialność | 3.3.2 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | Maszyny wirtualne powinny być połączone z określonym obszarem roboczym | 1.1.0 |
| Inspekcja i odpowiedzialność | 3.3.2 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | Maszyny wirtualne powinny mieć zainstalowane rozszerzenie usługi Log Analytics | 1.0.1 |
| Inspekcja i odpowiedzialność | 3.3.2 | Upewnij się, że działania poszczególnych użytkowników systemu mogą być jednoznacznie śledzone dla tych użytkowników, dzięki czemu mogą być pociągnięci do odpowiedzialności za swoje działania. | Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | 1.0.1 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.2.0 |
| Zarządzanie konfiguracją | 3.4.1 | Ustanów i zachowaj konfiguracje bazowe oraz spisy systemów organizacyjnych (w tym sprzętu, oprogramowania, oprogramowania układowego i dokumentacji) w odpowiednich cyklach życia programowania systemu. | Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.0.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.2.0 |
| Zarządzanie konfiguracją | 3.4.2 | Ustanów i wymuś ustawienia konfiguracji zabezpieczeń dla produktów technologii informatycznych stosowanych w systemach organizacyjnych. | Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.0.0 |
| Identyfikacja i uwierzytelnianie | 3.5.10 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.10 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.10 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | 3.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.10 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| Identyfikacja i uwierzytelnianie | 3.5.10 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | 3.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.10 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Identyfikacja i uwierzytelnianie | 3.5.10 | Przechowywanie i przesyłanie tylko haseł chronionych kryptograficznie. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Identyfikacja i uwierzytelnianie | 3.5.2 | Uwierzytelnianie (lub weryfikowanie) tożsamości użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów organizacyjnych. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.2 | Uwierzytelnianie (lub weryfikowanie) tożsamości użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów organizacyjnych. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.2 | Uwierzytelnianie (lub weryfikowanie) tożsamości użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów organizacyjnych. | Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | 3.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.2 | Uwierzytelnianie (lub weryfikowanie) tożsamości użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów organizacyjnych. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| Identyfikacja i uwierzytelnianie | 3.5.2 | Uwierzytelnianie (lub weryfikowanie) tożsamości użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów organizacyjnych. | Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | 3.2.0 |
| Identyfikacja i uwierzytelnianie | 3.5.2 | Uwierzytelnianie (lub weryfikowanie) tożsamości użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów organizacyjnych. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | 3.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.2 | Uwierzytelnianie (lub weryfikowanie) tożsamości użytkowników, procesów lub urządzeń jako wymagania wstępne umożliwiającego dostęp do systemów organizacyjnych. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Identyfikacja i uwierzytelnianie | 3.5.4 | Stosowanie mechanizmów uwierzytelniania odpornych na odtwarzanie w celu uzyskania dostępu sieciowego do kont uprzywilejowanych i nieuprzywilejowanych. | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — zabezpieczenia sieci | 3.0.0 |
| Identyfikacja i uwierzytelnianie | 3.5.7 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.7 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.7 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | 2.0.0 |
| Identyfikacja i uwierzytelnianie | 3.5.7 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | 2.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.7 | Wymuszanie minimalnej złożoności hasła i zmiany znaków podczas tworzenia nowych haseł. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Identyfikacja i uwierzytelnianie | 3.5.8 | Zakazać ponownego użycia hasła dla określonej liczby generacji. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.8 | Zakazać ponownego użycia hasła dla określonej liczby generacji. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.8 | Zakazać ponownego użycia hasła dla określonej liczby generacji. | Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | 2.1.0 |
| Identyfikacja i uwierzytelnianie | 3.5.8 | Zakazać ponownego użycia hasła dla określonej liczby generacji. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| Ochrona multimediów | 3.8.9 | Ochrona poufności funkcji CUI kopii zapasowej w lokalizacjach przechowywania. | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
NIST SP 800-53 Rev. 4
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — NIST SP 800-53 Rev. 4. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — NIST SP 800-53 Rev. 5. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz NIST SP 800-53 Rev. 5.
Motyw chmury NL BIO
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla tematu NL BIO Cloud Theme. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Baseline Information Security Government Cybersecurity - Digital Government (digitaleoverheid.nl).
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Zarządzanie lukami w zabezpieczeniach techniczne C.04.3 — osie czasu | C.04.3 | Jeśli prawdopodobieństwo nadużyć i oczekiwane szkody są wysokie, poprawki są instalowane nie później niż w ciągu tygodnia. | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Zarządzanie lukami w zabezpieczeniach techniczne C.04.3 — osie czasu | C.04.3 | Jeśli prawdopodobieństwo nadużyć i oczekiwane szkody są wysokie, poprawki są instalowane nie później niż w ciągu tygodnia. | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Zarządzanie lukami w zabezpieczeniach techniczne C.04.3 — osie czasu | C.04.3 | Jeśli prawdopodobieństwo nadużyć i oczekiwane szkody są wysokie, poprawki są instalowane nie później niż w ciągu tygodnia. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Zarządzanie lukami w zabezpieczeniach techniczne C.04.6 — osie czasu | C.04.6 | Wady techniczne można rozwiązać, wykonując zarządzanie poprawkami w odpowiednim czasie. | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Zarządzanie lukami w zabezpieczeniach techniczne C.04.6 — osie czasu | C.04.6 | Wady techniczne można rozwiązać, wykonując zarządzanie poprawkami w odpowiednim czasie. | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Zarządzanie lukami w zabezpieczeniach techniczne C.04.6 — osie czasu | C.04.6 | Wady techniczne można rozwiązać, wykonując zarządzanie poprawkami w odpowiednim czasie. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| C.04.7 Techniczne zarządzanie lukami w zabezpieczeniach — oceniane | C.04.7 | Oceny luk w zabezpieczeniach technicznych są rejestrowane i zgłaszane. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Zarządzanie lukami w zabezpieczeniach techniczne C.04.8 — oceniane | C.04.8 | Raporty oceny zawierają sugestie dotyczące poprawy i są przekazywane menedżerom/właścicielom. | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Zarządzanie lukami w zabezpieczeniach techniczne C.04.8 — oceniane | C.04.8 | Raporty oceny zawierają sugestie dotyczące poprawy i są przekazywane menedżerom/właścicielom. | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| U.03.1 Business Continuity Services — nadmiarowość | U.03.1 | Uzgodniona ciągłość jest gwarantowana przez wystarczająco logiczne lub fizycznie wiele funkcji systemowych. | Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | 1.0.0 |
| U.03.1 Business Continuity Services — nadmiarowość | U.03.1 | Uzgodniona ciągłość jest gwarantowana przez wystarczająco logiczne lub fizycznie wiele funkcji systemowych. | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
| U.03.2 Business Continuity Services — wymagania dotyczące ciągłości działania | U.03.2 | Wymagania dotyczące ciągłości usług w chmurze uzgodnione z CSC są zapewniane przez architekturę systemu. | Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | 1.0.0 |
| U.03.2 Business Continuity Services — wymagania dotyczące ciągłości działania | U.03.2 | Wymagania dotyczące ciągłości usług w chmurze uzgodnione z CSC są zapewniane przez architekturę systemu. | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
| Dane u.04.1 i odzyskiwanie usługi w chmurze — funkcja przywracania | U.04.1 | Dane i usługi w chmurze są przywracane w uzgodnionym okresie i maksymalnej utracie danych oraz udostępniane CSC. | Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | 1.0.0 |
| Dane u.04.2 i odzyskiwanie usługi w chmurze — funkcja przywracania | U.04.2 | Monitorowany jest ciągły proces odzyskiwania danych. | Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | 1.0.0 |
| Dane u.04.3 i odzyskiwanie usługi w chmurze — przetestowane | U.04.3 | Działanie funkcji odzyskiwania jest okresowo testowane, a wyniki są udostępniane csC. | Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | 1.0.0 |
| Ochrona danych u.05.1 — środki kryptograficzne | U.05.1 | Transport danych jest zabezpieczony za pomocą kryptografii, w której zarządzanie kluczami odbywa się przez samą csc, jeśli jest to możliwe. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Ochrona danych u.05.2 — środki kryptograficzne | U.05.2 | Dane przechowywane w usłudze w chmurze są chronione do najnowszego stanu sztuki. | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux | Wersja zapoznawcza 6.0.0 |
| Ochrona danych u.05.2 — środki kryptograficzne | U.05.2 | Dane przechowywane w usłudze w chmurze są chronione do najnowszego stanu sztuki. | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux | Wersja zapoznawcza 5.1.0 |
| Ochrona danych u.05.2 — środki kryptograficzne | U.05.2 | Dane przechowywane w usłudze w chmurze są chronione do najnowszego stanu sztuki. | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows | 4.0.0-preview |
| Ochrona danych u.05.2 — środki kryptograficzne | U.05.2 | Dane przechowywane w usłudze w chmurze są chronione do najnowszego stanu sztuki. | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows | 3.1.0-preview |
| Ochrona danych u.05.2 — środki kryptograficzne | U.05.2 | Dane przechowywane w usłudze w chmurze są chronione do najnowszego stanu sztuki. | [Wersja zapoznawcza]: Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows | 4.0.0-preview |
| Ochrona danych u.05.2 — środki kryptograficzne | U.05.2 | Dane przechowywane w usłudze w chmurze są chronione do najnowszego stanu sztuki. | [Wersja zapoznawcza]: maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych | 2.0.0-preview |
| Ochrona danych u.05.2 — środki kryptograficzne | U.05.2 | Dane przechowywane w usłudze w chmurze są chronione do najnowszego stanu sztuki. | Dyski zarządzane powinny być dwukrotnie szyfrowane przy użyciu kluczy zarządzanych przez platformę i zarządzanych przez klienta | 1.0.0 |
| Ochrona danych u.05.2 — środki kryptograficzne | U.05.2 | Dane przechowywane w usłudze w chmurze są chronione do najnowszego stanu sztuki. | Dyski systemu operacyjnego i danych powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | 3.0.0 |
| Ochrona danych u.05.2 — środki kryptograficzne | U.05.2 | Dane przechowywane w usłudze w chmurze są chronione do najnowszego stanu sztuki. | Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście | 1.0.0 |
| Separacja danych u.07.1 — izolowana | U.07.1 | Stała izolacja danych jest architekturą wielodostępną. Poprawki są realizowane w kontrolowany sposób. | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Separacja danych u.07.1 — izolowana | U.07.1 | Stała izolacja danych jest architekturą wielodostępną. Poprawki są realizowane w kontrolowany sposób. | Zasoby dostępu do dysku powinny używać łącza prywatnego | 1.0.0 |
| Separacja danych u.07.1 — izolowana | U.07.1 | Stała izolacja danych jest architekturą wielodostępną. Poprawki są realizowane w kontrolowany sposób. | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Separacja danych u.07.1 — izolowana | U.07.1 | Stała izolacja danych jest architekturą wielodostępną. Poprawki są realizowane w kontrolowany sposób. | Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | 3.0.0 |
| Separacja danych u.07.1 — izolowana | U.07.1 | Stała izolacja danych jest architekturą wielodostępną. Poprawki są realizowane w kontrolowany sposób. | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Separacja danych u.07.1 — izolowana | U.07.1 | Stała izolacja danych jest architekturą wielodostępną. Poprawki są realizowane w kontrolowany sposób. | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| Separacja danych u.07.1 — izolowana | U.07.1 | Stała izolacja danych jest architekturą wielodostępną. Poprawki są realizowane w kontrolowany sposób. | Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Ochrona przed złośliwym oprogramowaniem u.09.3 — wykrywanie, zapobieganie i odzyskiwanie | U.09.3 | Ochrona przed złośliwym oprogramowaniem jest uruchamiana w różnych środowiskach. | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Ochrona przed złośliwym oprogramowaniem u.09.3 — wykrywanie, zapobieganie i odzyskiwanie | U.09.3 | Ochrona przed złośliwym oprogramowaniem jest uruchamiana w różnych środowiskach. | Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | 3.0.0 |
| Ochrona przed złośliwym oprogramowaniem u.09.3 — wykrywanie, zapobieganie i odzyskiwanie | U.09.3 | Ochrona przed złośliwym oprogramowaniem jest uruchamiana w różnych środowiskach. | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Ochrona przed złośliwym oprogramowaniem u.09.3 — wykrywanie, zapobieganie i odzyskiwanie | U.09.3 | Ochrona przed złośliwym oprogramowaniem jest uruchamiana w różnych środowiskach. | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| U.10.2 Dostęp do usług i danych IT — użytkownicy | U.10.2 | W ramach odpowiedzialności dostawcy CSP dostęp jest udzielany administratorom. | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| U.10.2 Dostęp do usług i danych IT — użytkownicy | U.10.2 | W ramach odpowiedzialności dostawcy CSP dostęp jest udzielany administratorom. | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| U.10.2 Dostęp do usług i danych IT — użytkownicy | U.10.2 | W ramach odpowiedzialności dostawcy CSP dostęp jest udzielany administratorom. | Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | 1.0.0 |
| U.10.2 Dostęp do usług i danych IT — użytkownicy | U.10.2 | W ramach odpowiedzialności dostawcy CSP dostęp jest udzielany administratorom. | Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | 1.0.0 |
| U.10.3 Dostęp do usług i danych IT — użytkownicy | U.10.3 | Tylko użytkownicy z uwierzytelnionymi sprzętami mogą uzyskiwać dostęp do usług i danych IT. | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| U.10.3 Dostęp do usług i danych IT — użytkownicy | U.10.3 | Tylko użytkownicy z uwierzytelnionymi sprzętami mogą uzyskiwać dostęp do usług i danych IT. | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| U.10.3 Dostęp do usług i danych IT — użytkownicy | U.10.3 | Tylko użytkownicy z uwierzytelnionymi sprzętami mogą uzyskiwać dostęp do usług i danych IT. | Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | 1.0.0 |
| U.10.3 Dostęp do usług i danych IT — użytkownicy | U.10.3 | Tylko użytkownicy z uwierzytelnionymi sprzętami mogą uzyskiwać dostęp do usług i danych IT. | Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | 1.0.0 |
| U.10.5 Dostęp do usług i danych IT — właściwy | U.10.5 | Dostęp do usług i danych IT jest ograniczony przez środki techniczne i został wdrożony. | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| U.10.5 Dostęp do usług i danych IT — właściwy | U.10.5 | Dostęp do usług i danych IT jest ograniczony przez środki techniczne i został wdrożony. | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| U.10.5 Dostęp do usług i danych IT — właściwy | U.10.5 | Dostęp do usług i danych IT jest ograniczony przez środki techniczne i został wdrożony. | Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | 1.0.0 |
| U.10.5 Dostęp do usług i danych IT — właściwy | U.10.5 | Dostęp do usług i danych IT jest ograniczony przez środki techniczne i został wdrożony. | Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | 1.0.0 |
| Kryptografia U.11.1 — zasady | U.11.1 | W polityce kryptograficznej co najmniej podmioty zgodne z BIO zostały opracowane. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| Kryptografia U.11.1 — zasady | U.11.1 | W polityce kryptograficznej co najmniej podmioty zgodne z BIO zostały opracowane. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| U.11.2 Cryptoservices — miary kryptograficzne | U.11.2 | W przypadku certyfikatów PKIoverheid należy użyć wymagań PKIoverheid do zarządzania kluczami. W innych sytuacjach należy użyć ISO11770. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| U.11.2 Cryptoservices — miary kryptograficzne | U.11.2 | W przypadku certyfikatów PKIoverheid należy użyć wymagań PKIoverheid do zarządzania kluczami. W innych sytuacjach należy użyć ISO11770. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Kryptografia u.11.3 — zaszyfrowane | U.11.3 | Poufne dane są zawsze szyfrowane przy użyciu kluczy prywatnych zarządzanych przez csC. | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux | Wersja zapoznawcza 6.0.0 |
| Kryptografia u.11.3 — zaszyfrowane | U.11.3 | Poufne dane są zawsze szyfrowane przy użyciu kluczy prywatnych zarządzanych przez csC. | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux | Wersja zapoznawcza 5.1.0 |
| Kryptografia u.11.3 — zaszyfrowane | U.11.3 | Poufne dane są zawsze szyfrowane przy użyciu kluczy prywatnych zarządzanych przez csC. | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows | 4.0.0-preview |
| Kryptografia u.11.3 — zaszyfrowane | U.11.3 | Poufne dane są zawsze szyfrowane przy użyciu kluczy prywatnych zarządzanych przez csC. | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows | 3.1.0-preview |
| Kryptografia u.11.3 — zaszyfrowane | U.11.3 | Poufne dane są zawsze szyfrowane przy użyciu kluczy prywatnych zarządzanych przez csC. | [Wersja zapoznawcza]: Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows | 4.0.0-preview |
| Kryptografia u.11.3 — zaszyfrowane | U.11.3 | Poufne dane są zawsze szyfrowane przy użyciu kluczy prywatnych zarządzanych przez csC. | [Wersja zapoznawcza]: maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych | 2.0.0-preview |
| Kryptografia u.11.3 — zaszyfrowane | U.11.3 | Poufne dane są zawsze szyfrowane przy użyciu kluczy prywatnych zarządzanych przez csC. | Dyski zarządzane powinny być dwukrotnie szyfrowane przy użyciu kluczy zarządzanych przez platformę i zarządzanych przez klienta | 1.0.0 |
| Kryptografia u.11.3 — zaszyfrowane | U.11.3 | Poufne dane są zawsze szyfrowane przy użyciu kluczy prywatnych zarządzanych przez csC. | Dyski systemu operacyjnego i danych powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | 3.0.0 |
| Kryptografia u.11.3 — zaszyfrowane | U.11.3 | Poufne dane są zawsze szyfrowane przy użyciu kluczy prywatnych zarządzanych przez csC. | Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście | 1.0.0 |
| Interfejsy U.12.1 — połączenia sieciowe | U.12.1 | W punktach połączenia ze strefami zewnętrznymi lub niezaufanymi środki są podejmowane przeciwko atakom. | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Interfejsy U.12.1 — połączenia sieciowe | U.12.1 | W punktach połączenia ze strefami zewnętrznymi lub niezaufanymi środki są podejmowane przeciwko atakom. | Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | 3.0.0 |
| Interfejsy U.12.2 — połączenia sieciowe | U.12.2 | Składniki sieci są takie, że połączenia sieciowe między zaufanymi i niezaufanych sieci są ograniczone. | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Interfejsy U.12.2 — połączenia sieciowe | U.12.2 | Składniki sieci są takie, że połączenia sieciowe między zaufanymi i niezaufanych sieci są ograniczone. | Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | 3.0.0 |
| Rejestrowanie i monitorowanie u.15.1 — zarejestrowane zdarzenia | U.15.1 | Naruszenie reguł zasad jest rejestrowane przez dostawcę CSP i CSC. | [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Wersja zapoznawcza 2.0.1 |
| Rejestrowanie i monitorowanie u.15.1 — zarejestrowane zdarzenia | U.15.1 | Naruszenie reguł zasad jest rejestrowane przez dostawcę CSP i CSC. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | 1.0.2—wersja zapoznawcza |
| Rejestrowanie i monitorowanie u.15.1 — zarejestrowane zdarzenia | U.15.1 | Naruszenie reguł zasad jest rejestrowane przez dostawcę CSP i CSC. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | 1.0.2—wersja zapoznawcza |
| Rejestrowanie i monitorowanie u.15.1 — zarejestrowane zdarzenia | U.15.1 | Naruszenie reguł zasad jest rejestrowane przez dostawcę CSP i CSC. | Agent zależności powinien być włączony dla wyświetlanych obrazów maszyn wirtualnych | 2.0.0 |
| Rejestrowanie i monitorowanie u.15.1 — zarejestrowane zdarzenia | U.15.1 | Naruszenie reguł zasad jest rejestrowane przez dostawcę CSP i CSC. | Agent zależności powinien być włączony w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | 2.0.0 |
| Rejestrowanie i monitorowanie u.15.1 — zarejestrowane zdarzenia | U.15.1 | Naruszenie reguł zasad jest rejestrowane przez dostawcę CSP i CSC. | Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | 1.0.3 |
| Rejestrowanie i monitorowanie u.15.1 — zarejestrowane zdarzenia | U.15.1 | Naruszenie reguł zasad jest rejestrowane przez dostawcę CSP i CSC. | Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | 2.0.1 |
| Rejestrowanie i monitorowanie u.15.1 — zarejestrowane zdarzenia | U.15.1 | Naruszenie reguł zasad jest rejestrowane przez dostawcę CSP i CSC. | Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | 1.0.1 |
| Rejestrowanie i monitorowanie u.15.3 — zarejestrowane zdarzenia | U.15.3 | Dostawca CSP utrzymuje listę wszystkich zasobów, które są krytyczne pod względem rejestrowania i monitorowania i przeglądów tej listy. | [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Wersja zapoznawcza 2.0.1 |
| Rejestrowanie i monitorowanie u.15.3 — zarejestrowane zdarzenia | U.15.3 | Dostawca CSP utrzymuje listę wszystkich zasobów, które są krytyczne pod względem rejestrowania i monitorowania i przeglądów tej listy. | Agent zależności powinien być włączony dla wyświetlanych obrazów maszyn wirtualnych | 2.0.0 |
| Rejestrowanie i monitorowanie u.15.3 — zarejestrowane zdarzenia | U.15.3 | Dostawca CSP utrzymuje listę wszystkich zasobów, które są krytyczne pod względem rejestrowania i monitorowania i przeglądów tej listy. | Agent zależności powinien być włączony w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | 2.0.0 |
| Rejestrowanie i monitorowanie u.15.3 — zarejestrowane zdarzenia | U.15.3 | Dostawca CSP utrzymuje listę wszystkich zasobów, które są krytyczne pod względem rejestrowania i monitorowania i przeglądów tej listy. | Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | 2.0.1 |
| Architektura wielodostępna U.17.1 — Encrypted | U.17.1 | Dane CSC dotyczące transportu i magazynowania są szyfrowane. | Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | 1.0.0 |
| Architektura wielodostępna U.17.1 — Encrypted | U.17.1 | Dane CSC dotyczące transportu i magazynowania są szyfrowane. | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
PCI DSS 3.2.1
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz PCI DSS 3.2.1. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz PCI DSS 3.2.1.
PCI DSS w wersji 4.0
Aby dowiedzieć się, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla standardu PCI DSS w wersji 4.0. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz PCI DSS v4.0.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Wymaganie 01: Instalowanie i obsługa mechanizmów kontroli zabezpieczeń sieci | 1.3.2 | Dostęp sieciowy do i ze środowiska danych karty jest ograniczony | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Wymaganie 01: Instalowanie i obsługa mechanizmów kontroli zabezpieczeń sieci | 1.4.2 | Połączenia sieciowe między zaufanymi i niezaufanymi sieciami są kontrolowane | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Wymaganie 10: Rejestrowanie i monitorowanie całego dostępu do składników systemowych i danych karty | 10.2.2 | Dzienniki inspekcji są implementowane w celu obsługi wykrywania anomalii i podejrzanych działań oraz analizy śledczej zdarzeń | Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | 1.0.0 |
| Wymaganie 10: Rejestrowanie i monitorowanie całego dostępu do składników systemowych i danych karty | 10.3.3 | Dzienniki inspekcji są chronione przed zniszczeniem i nieautoryzowanymi modyfikacjami | Maszyny wirtualne powinny być migrowane do nowych zasobów usługi Azure Resource Manager | 1.0.0 |
| Wymaganie 11: Regularne testowanie zabezpieczeń systemów i sieci | 11.3.1 | Luki w zabezpieczeniach zewnętrznych i wewnętrznych są regularnie identyfikowane, priorytetowe i rozwiązywane | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Wymaganie 11: Regularne testowanie zabezpieczeń systemów i sieci | 11.3.1 | Luki w zabezpieczeniach zewnętrznych i wewnętrznych są regularnie identyfikowane, priorytetowe i rozwiązywane | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Wymaganie 05: Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem | 5.2.1 | Złośliwe oprogramowanie (złośliwe oprogramowanie) jest blokowane lub wykrywane i rozwiązane | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Wymaganie 05: Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem | 5.2.1 | Złośliwe oprogramowanie (złośliwe oprogramowanie) jest blokowane lub wykrywane i rozwiązane | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Wymaganie 05: Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem | 5.2.2 | Złośliwe oprogramowanie (złośliwe oprogramowanie) jest blokowane lub wykrywane i rozwiązane | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Wymaganie 05: Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem | 5.2.2 | Złośliwe oprogramowanie (złośliwe oprogramowanie) jest blokowane lub wykrywane i rozwiązane | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Wymaganie 05: Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem | 5.2.3 | Złośliwe oprogramowanie (złośliwe oprogramowanie) jest blokowane lub wykrywane i rozwiązane | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Wymaganie 05: Ochrona wszystkich systemów i sieci przed złośliwym oprogramowaniem | 5.2.3 | Złośliwe oprogramowanie (złośliwe oprogramowanie) jest blokowane lub wykrywane i rozwiązane | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Wymaganie 06: Opracowywanie i utrzymywanie bezpiecznych systemów i oprogramowania | 6.3.3 | Zidentyfikowano i rozwiązano luki w zabezpieczeniach | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Wymaganie 06: Opracowywanie i utrzymywanie bezpiecznych systemów i oprogramowania | 6.3.3 | Zidentyfikowano i rozwiązano luki w zabezpieczeniach | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Wymaganie 06: Opracowywanie i utrzymywanie bezpiecznych systemów i oprogramowania | 6.4.1 | Publiczne aplikacje internetowe są chronione przed atakami | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Wymaganie 06: Opracowywanie i utrzymywanie bezpiecznych systemów i oprogramowania | 6.4.1 | Publiczne aplikacje internetowe są chronione przed atakami | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| Wymaganie 08: identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemowych | 8.3.6 | Silne uwierzytelnianie dla użytkowników i administratorów jest ustanawiane i zarządzane | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| Wymaganie 08: identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemowych | 8.3.6 | Silne uwierzytelnianie dla użytkowników i administratorów jest ustanawiane i zarządzane | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| Wymaganie 08: identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemowych | 8.3.6 | Silne uwierzytelnianie dla użytkowników i administratorów jest ustanawiane i zarządzane | Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | 2.1.0 |
| Wymaganie 08: identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemowych | 8.3.6 | Silne uwierzytelnianie dla użytkowników i administratorów jest ustanawiane i zarządzane | Przeprowadź inspekcję maszyn z systemem Windows, które nie mają ustawionego maksymalnego wieku hasła na określoną liczbę dni | 2.1.0 |
| Wymaganie 08: identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemowych | 8.3.6 | Silne uwierzytelnianie dla użytkowników i administratorów jest ustanawiane i zarządzane | Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | 2.1.0 |
| Wymaganie 08: identyfikowanie użytkowników i uwierzytelnianie dostępu do składników systemowych | 8.3.6 | Silne uwierzytelnianie dla użytkowników i administratorów jest ustanawiane i zarządzane | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
Bank rezerw Indii — struktura IT dla NBFC
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — Reserve Bank of India — IT Framework for NBFC. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Reserve Bank of India - IT Framework for NBFC (Bank of India — struktura IT Framework dla NBFC).
Reserve Bank of India IT Framework for Banks v2016
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — RBI ITF Banks v2016. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz RBI ITF Banks v2016 (PDF).
RMIT Malezja
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — RMIT Malaysia. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz RMIT Malaysia.
Hiszpania ENS
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla hiszpanii ENS. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz CCN-STIC 884.
SWIFT CSP-CSCF v2021
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla swift CSP-CSCF v2021. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz SWIFT CSP CSCF v2021.
SWIFT CSP-CSCF v2022
Aby dowiedzieć się, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla swift CSP-CSCF v2022. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz SWIFT CSP CSCF v2022.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.1 | Zapewnij ochronę lokalnej infrastruktury SWIFT użytkownika przed potencjalnie naruszonym zabezpieczeniami elementów ogólnego środowiska IT i środowiska zewnętrznego. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | 1.0.2—wersja zapoznawcza |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.1 | Zapewnij ochronę lokalnej infrastruktury SWIFT użytkownika przed potencjalnie naruszonym zabezpieczeniami elementów ogólnego środowiska IT i środowiska zewnętrznego. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | 1.0.2—wersja zapoznawcza |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.1 | Zapewnij ochronę lokalnej infrastruktury SWIFT użytkownika przed potencjalnie naruszonym zabezpieczeniami elementów ogólnego środowiska IT i środowiska zewnętrznego. | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.1 | Zapewnij ochronę lokalnej infrastruktury SWIFT użytkownika przed potencjalnie naruszonym zabezpieczeniami elementów ogólnego środowiska IT i środowiska zewnętrznego. | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.1 | Zapewnij ochronę lokalnej infrastruktury SWIFT użytkownika przed potencjalnie naruszonym zabezpieczeniami elementów ogólnego środowiska IT i środowiska zewnętrznego. | Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | 3.0.0 |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.2 | Ogranicz i kontroluj alokację i użycie kont systemu operacyjnego na poziomie administratora. | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.3 | Zabezpieczanie platformy wirtualizacji i maszyn wirtualnych hostujących składniki związane z usługą SWIFT na tym samym poziomie co systemy fizyczne. | Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | 1.0.0 |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.4 | Kontrolowanie/ochrona dostępu do Internetu przed komputerami i systemami operatora w strefie zabezpieczonej. | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.4 | Kontrolowanie/ochrona dostępu do Internetu przed komputerami i systemami operatora w strefie zabezpieczonej. | Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.5A | Zapewnienie ochrony infrastruktury łączności klienta ze środowiska zewnętrznego i potencjalnie naruszonych elementów ogólnego środowiska IT. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | 1.0.2—wersja zapoznawcza |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.5A | Zapewnienie ochrony infrastruktury łączności klienta ze środowiska zewnętrznego i potencjalnie naruszonych elementów ogólnego środowiska IT. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | 1.0.2—wersja zapoznawcza |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.5A | Zapewnienie ochrony infrastruktury łączności klienta ze środowiska zewnętrznego i potencjalnie naruszonych elementów ogólnego środowiska IT. | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.5A | Zapewnienie ochrony infrastruktury łączności klienta ze środowiska zewnętrznego i potencjalnie naruszonych elementów ogólnego środowiska IT. | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| 1. Ograniczanie dostępu do Internetu i ochrona krytycznych systemów przed ogólnym środowiskiem IT | 1.5A | Zapewnienie ochrony infrastruktury łączności klienta ze środowiska zewnętrznego i potencjalnie naruszonych elementów ogólnego środowiska IT. | Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | 3.0.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.1 | Zapewnij poufność, integralność i autentyczność przepływów danych aplikacji między lokalnymi składnikami związanymi z usługą SWIFT. | Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | 3.2.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.1 | Zapewnij poufność, integralność i autentyczność przepływów danych aplikacji między lokalnymi składnikami związanymi z usługą SWIFT. | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2,2 | Zminimalizuj występowanie znanych luk technicznych na komputerach operatorów i lokalnej infrastruktury SWIFT, zapewniając obsługę dostawcy, stosowanie obowiązkowych aktualizacji oprogramowania i stosowanie aktualizacji zabezpieczeń w odpowiednim czasie dopasowanych do ocenianego ryzyka. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2,2 | Zminimalizuj występowanie znanych luk technicznych na komputerach operatorów i lokalnej infrastruktury SWIFT, zapewniając obsługę dostawcy, stosowanie obowiązkowych aktualizacji oprogramowania i stosowanie aktualizacji zabezpieczeń w odpowiednim czasie dopasowanych do ocenianego ryzyka. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2,2 | Zminimalizuj występowanie znanych luk technicznych na komputerach operatorów i lokalnej infrastruktury SWIFT, zapewniając obsługę dostawcy, stosowanie obowiązkowych aktualizacji oprogramowania i stosowanie aktualizacji zabezpieczeń w odpowiednim czasie dopasowanych do ocenianego ryzyka. | Przeprowadzanie inspekcji maszyn wirtualnych z systemem Windows z oczekującym ponownym uruchomieniem | 2.0.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2,2 | Zminimalizuj występowanie znanych luk technicznych na komputerach operatorów i lokalnej infrastruktury SWIFT, zapewniając obsługę dostawcy, stosowanie obowiązkowych aktualizacji oprogramowania i stosowanie aktualizacji zabezpieczeń w odpowiednim czasie dopasowanych do ocenianego ryzyka. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.3 | Zmniejsz obszar cyberataków składników związanych z swift, wykonując wzmacnianie zabezpieczeń systemu. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.3 | Zmniejsz obszar cyberataków składników związanych z swift, wykonując wzmacnianie zabezpieczeń systemu. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.3 | Zmniejsz obszar cyberataków składników związanych z swift, wykonując wzmacnianie zabezpieczeń systemu. | Przeprowadź inspekcję maszyn z systemem Linux, które nie mają uprawnień do przekazywania plików ustawionych na 0644 | 3.1.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.3 | Zmniejsz obszar cyberataków składników związanych z swift, wykonując wzmacnianie zabezpieczeń systemu. | Przeprowadź inspekcję maszyn z systemem Windows, które zawierają certyfikaty wygasające w ciągu określonej liczby dni | 2.0.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.3 | Zmniejsz obszar cyberataków składników związanych z swift, wykonując wzmacnianie zabezpieczeń systemu. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.3 | Zmniejsz obszar cyberataków składników związanych z swift, wykonując wzmacnianie zabezpieczeń systemu. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | 3.1.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.3 | Zmniejsz obszar cyberataków składników związanych z swift, wykonując wzmacnianie zabezpieczeń systemu. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.3 | Zmniejsz obszar cyberataków składników związanych z swift, wykonując wzmacnianie zabezpieczeń systemu. | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.4A | Zabezpieczenia Przepływ danych zaplecza | Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | 3.2.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.4A | Zabezpieczenia Przepływ danych zaplecza | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.5A | Zewnętrzna ochrona danych transmisji | Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | 1.0.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.5A | Zewnętrzna ochrona danych transmisji | Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | 1.0.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.5A | Zewnętrzna ochrona danych transmisji | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.6 | Ochrona poufności i integralności sesji operatorów interakcyjnych łączących się z lokalną lub zdalną (obsługiwaną przez dostawcę usług) infrastrukturą SWIFT lub aplikacjami dostawcy usług SWIFT | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.6 | Ochrona poufności i integralności sesji operatorów interakcyjnych łączących się z lokalną lub zdalną (obsługiwaną przez dostawcę usług) infrastrukturą SWIFT lub aplikacjami dostawcy usług SWIFT | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.6 | Ochrona poufności i integralności sesji operatorów interakcyjnych łączących się z lokalną lub zdalną (obsługiwaną przez dostawcę usług) infrastrukturą SWIFT lub aplikacjami dostawcy usług SWIFT | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.6 | Ochrona poufności i integralności sesji operatorów interakcyjnych łączących się z lokalną lub zdalną (obsługiwaną przez dostawcę usług) infrastrukturą SWIFT lub aplikacjami dostawcy usług SWIFT | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.6 | Ochrona poufności i integralności sesji operatorów interakcyjnych łączących się z lokalną lub zdalną (obsługiwaną przez dostawcę usług) infrastrukturą SWIFT lub aplikacjami dostawcy usług SWIFT | Maszyny z systemem Windows powinny spełniać wymagania dotyczące opcji zabezpieczeń — logowanie interakcyjne | 3.0.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.7 | Zidentyfikuj znane luki w zabezpieczeniach w lokalnym środowisku SWIFT, wdrażając regularny proces skanowania luk w zabezpieczeniach i wykonując działania na podstawie wyników. | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| 2. Zmniejszenie obszaru ataków i luk w zabezpieczeniach | 2.7 | Zidentyfikuj znane luki w zabezpieczeniach w lokalnym środowisku SWIFT, wdrażając regularny proces skanowania luk w zabezpieczeniach i wykonując działania na podstawie wyników. | Należy skorygować luki w zabezpieczeniach w konfiguracji zabezpieczeń na maszynach | 3.1.0 |
| 3. Fizycznie zabezpieczanie środowiska | 3.1 | Zapobiegaj nieautoryzowanemu dostępowi fizycznemu do poufnych urządzeń, środowisk w miejscu pracy, witryn hostingowych i magazynowania. | Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | 1.0.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Inspekcja maszyn z systemem Linux, które zezwalają na połączenia zdalne z kont bez haseł | 3.1.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Inspekcja maszyn z systemem Linux z kontami bez haseł | 3.1.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które umożliwiają ponowne użycie haseł po określonej liczbie unikatowych haseł | 2.1.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie mają ustawionego maksymalnego wieku hasła na określoną liczbę dni | 2.1.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie mają minimalnego wieku hasła ustawionego na określoną liczbę dni | 2.1.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie mają włączonego ustawienia złożoności hasła | 2.0.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Przeprowadź inspekcję maszyn z systemem Windows, które nie ograniczają minimalnej długości hasła do określonej liczby znaków | 2.1.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Linux w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Linux | 3.1.0 |
| 4. Zapobieganie naruszeniu poświadczeń | 4.1 | Upewnij się, że hasła są wystarczająco odporne na typowe ataki na hasła, implementując i wymuszając obowiązujące zasady haseł. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| 5. Zarządzanie tożsamościami i segregowanie uprawnień | 5,1 | Wymuszanie zasad zabezpieczeń związanych z dostępem do wiedzy, najniższymi uprawnieniami i rozdzieleniem obowiązków dla kont operatorów. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| 5. Zarządzanie tożsamościami i segregowanie uprawnień | 5,1 | Wymuszanie zasad zabezpieczeń związanych z dostępem do wiedzy, najniższymi uprawnieniami i rozdzieleniem obowiązków dla kont operatorów. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| 5. Zarządzanie tożsamościami i segregowanie uprawnień | 5,1 | Wymuszanie zasad zabezpieczeń związanych z dostępem do wiedzy, najniższymi uprawnieniami i rozdzieleniem obowiązków dla kont operatorów. | Przeprowadź inspekcję maszyn z systemem Windows, które zawierają certyfikaty wygasające w ciągu określonej liczby dni | 2.0.0 |
| 5. Zarządzanie tożsamościami i segregowanie uprawnień | 5,1 | Wymuszanie zasad zabezpieczeń związanych z dostępem do wiedzy, najniższymi uprawnieniami i rozdzieleniem obowiązków dla kont operatorów. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| 5. Zarządzanie tożsamościami i segregowanie uprawnień | 5.2 | Upewnij się, że odpowiednie zarządzanie, śledzenie i korzystanie z połączonego i odłączonego uwierzytelniania sprzętowego lub osobistych tokenów (gdy są używane tokeny). | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| 5. Zarządzanie tożsamościami i segregowanie uprawnień | 5,4 | Ochrona fizycznie i logicznie repozytorium zarejestrowanych haseł. | Inspekcja maszyn z systemem Windows, które nie przechowują haseł przy użyciu szyfrowania odwracalnego | 2.0.0 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.1 | Upewnij się, że lokalna infrastruktura SWIFT jest chroniona przed złośliwym oprogramowaniem i działa na podstawie wyników. | Program Microsoft Antimalware dla platformy Azure powinien być skonfigurowany do automatycznego aktualizowania podpisów ochrony | 1.0.0 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.1 | Upewnij się, że lokalna infrastruktura SWIFT jest chroniona przed złośliwym oprogramowaniem i działa na podstawie wyników. | Rozszerzenie IaaSAntimalware firmy Microsoft należy wdrożyć na serwerach z systemem Windows | 1.1.0 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.4 | Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT. | [Wersja zapoznawcza]: Rozszerzenie usługi Log Analytics powinno być włączone dla wymienionych obrazów maszyn wirtualnych | Wersja zapoznawcza 2.0.1 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.4 | Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | 1.0.2—wersja zapoznawcza |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.4 | Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | 1.0.2—wersja zapoznawcza |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.4 | Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych bez tożsamości | 4.1.0 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.4 | Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT. | Dodawanie przypisanej przez system tożsamości zarządzanej w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z tożsamością przypisaną przez użytkownika | 4.1.0 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.4 | Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT. | Inspekcja maszyn wirtualnych bez skonfigurowanego odzyskiwania po awarii | 1.0.0 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.4 | Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT. | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.4 | Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT. | Wdrażanie rozszerzenia Konfiguracja gościa systemu Windows w celu włączenia przypisań konfiguracji gościa na maszynach wirtualnych z systemem Windows | 1.2.0 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.4 | Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT. | Rozszerzenie usługi Log Analytics powinno być włączone w zestawach skalowania maszyn wirtualnych dla wymienionych obrazów maszyn wirtualnych | 2.0.1 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.4 | Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT. | Rozszerzenie usługi Log Analytics powinno być zainstalowane w zestawach skalowania maszyn wirtualnych | 1.0.1 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.4 | Rejestruj zdarzenia zabezpieczeń i wykrywaj nietypowe akcje i operacje w lokalnym środowisku SWIFT. | Maszyny wirtualne powinny mieć zainstalowane rozszerzenie usługi Log Analytics | 1.0.1 |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.5A | Wykrywanie i zawieranie nietypowych działań sieciowych w lokalnym lub zdalnym środowisku SWIFT. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | 1.0.2—wersja zapoznawcza |
| 6. Wykrywanie nietypowych działań w systemach lub rekordach transakcji | 6.5A | Wykrywanie i zawieranie nietypowych działań sieciowych w lokalnym lub zdalnym środowisku SWIFT. | [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | 1.0.2—wersja zapoznawcza |
Kontrolki systemu i organizacji (SOC) 2
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Szczegóły zgodności z przepisami usługi Azure Policy dla kontroli systemu i organizacji (SOC) 2. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz System and Organization Controls (SOC) 2.
| Domain | Identyfikator kontrolki | Tytuł kontrolki | Zasady (Azure Portal) |
Wersja zasad (GitHub) |
|---|---|---|---|---|
| Dodatkowe kryteria dostępności | A1.2 | Ochrona środowiska, oprogramowanie, procesy tworzenia kopii zapasowych danych i infrastruktura odzyskiwania | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
| Ocena ryzyka | CC3.2 | Zasada COSO 7 | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.1 | Oprogramowanie zabezpieczeń dostępu logicznego, infrastruktura i architektury | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.1 | Oprogramowanie zabezpieczeń dostępu logicznego, infrastruktura i architektury | Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | 3.2.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.1 | Oprogramowanie zabezpieczeń dostępu logicznego, infrastruktura i architektury | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.1 | Oprogramowanie zabezpieczeń dostępu logicznego, infrastruktura i architektury | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.1 | Oprogramowanie zabezpieczeń dostępu logicznego, infrastruktura i architektury | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.1 | Oprogramowanie zabezpieczeń dostępu logicznego, infrastruktura i architektury | Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.1 | Oprogramowanie zabezpieczeń dostępu logicznego, infrastruktura i architektury | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | 3.2.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.6 | Środki bezpieczeństwa przed zagrożeniami poza granicami systemu | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Kontrola dostępu logicznego i fizycznego | CC6.7 | Ograniczanie przenoszenia informacji do autoryzowanych użytkowników | Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.7 | Ograniczanie przenoszenia informacji do autoryzowanych użytkowników | Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.7 | Ograniczanie przenoszenia informacji do autoryzowanych użytkowników | Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.7 | Ograniczanie przenoszenia informacji do autoryzowanych użytkowników | Porty zarządzania powinny być zamknięte na maszynach wirtualnych | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.7 | Ograniczanie przenoszenia informacji do autoryzowanych użytkowników | Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | 3.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.7 | Ograniczanie przenoszenia informacji do autoryzowanych użytkowników | Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | 4.1.1 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux | Wersja zapoznawcza 6.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux | Wersja zapoznawcza 5.1.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows | 4.0.0-preview |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows | 3.1.0-preview |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | [Wersja zapoznawcza]: Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows | 4.0.0-preview |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | [Wersja zapoznawcza]: maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych | 2.0.0-preview |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | 1.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | 1.0.3 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.2.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej | 1.0.0 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | 1.0.1 |
| Kontrola dostępu logicznego i fizycznego | CC6.8 | Zapobieganie nieautoryzowanemu lub złośliwemu oprogramowaniu lub ich wykrywaniu | Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.0.0 |
| Operacje systemowe | CC7.1 | Wykrywanie i monitorowanie nowych luk w zabezpieczeniach | Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | 3.0.0 |
| Operacje systemowe | CC7.2 | Monitorowanie składników systemowych pod kątem nietypowego zachowania | Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | 2.0.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux | Wersja zapoznawcza 6.0.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux | Wersja zapoznawcza 5.1.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows | 4.0.0-preview |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows | 3.1.0-preview |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | [Wersja zapoznawcza]: Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows | 4.0.0-preview |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | [Wersja zapoznawcza]: maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych | 2.0.0-preview |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Przeprowadzanie inspekcji maszyn wirtualnych, które nie korzystają z dysków zarządzanych | 1.0.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | 1.0.3 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.2.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Należy zainstalować tylko zatwierdzone rozszerzenia maszyny wirtualnej | 1.0.0 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | 1.0.1 |
| Zarządzanie zmianami | CC8.1 | Zmiany infrastruktury, danych i oprogramowania | Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | 2.0.0 |
| Dodatkowe kryteria integralności przetwarzania | PI1.5 | Przechowywanie danych wejściowych i wyjściowych całkowicie, dokładnie i terminowo | Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | 3.0.0 |
UK OFFICIAL i UK NHS
Aby sprawdzić, jak dostępne wbudowane usługi Azure Policy dla wszystkich usług platformy Azure są mapowane na ten standard zgodności, zobacz Zgodność z przepisami usługi Azure Policy — UK OFFICIAL i UK NHS. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz UK OFFICIAL.
Następne kroki
- Dowiedz się więcej o zgodności z przepisami usługi Azure Policy.
- Zobacz wbudowane elementy w repozytorium GitHub usługi Azure Policy.