Сведения о встроенной инициативе по соответствию нормативным требованиям CIS Microsoft Azure Foundations Benchmark 1.4.0
В следующей статье описано, как Политика Azure встроенное определение инициативы соответствия нормативным требованиям сопоставляется с доменами соответствия и элементами управления в CIS Microsoft Azure Foundations Benchmark 1.4.0. Дополнительные сведения об этом стандарте соответствия см. в разделе CIS Microsoft Azure Foundations Benchmark 1.4.0. Чтобы понять право владения, просмотрите тип политики и общую ответственность в облаке.
Следующие сопоставления относятся к элементам управления CIS Microsoft Azure Foundations Benchmark 1.4.0 . Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенное определение инициативы cis Microsoft Azure Foundations Benchmark версии 1.4.0 по соответствию нормативным требованиям.
Внимание
Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.
1. Управление удостоверениями и доступом
Убедитесь, что "Состояние многофакторной проверки подлинности" включено для всех привилегированных пользователей
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.1 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
Убедитесь, что "Пользователи могут добавлять приложения коллекции в Мои приложения" имеет значение "Нет"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.10 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
Убедитесь, что параметр "Пользователи могут регистрировать приложения" имеет значение "Нет"
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 1.11 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
Убедитесь, что для гостевых пользователей задано значение "Гостевой доступ пользователей ограничен свойствами и членством в своих собственных объектах каталога".
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 1.12 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Проектирование модели управления доступом | CMA_0129 — Проектирование модели управления доступом | Вручную, отключено | 1.1.0 |
Использование минимальных прав доступа | CMA_0212 — Использование минимальных прав доступа | Вручную, отключено | 1.1.0 |
Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
Убедитесь, что для параметра "Ограничения гостевого приглашения" задано значение "Только пользователи, назначенные определенным ролям администратора, могут приглашать гостевых пользователей".
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.13 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Проектирование модели управления доступом | CMA_0129 — Проектирование модели управления доступом | Вручную, отключено | 1.1.0 |
Использование минимальных прав доступа | CMA_0212 — Использование минимальных прав доступа | Вручную, отключено | 1.1.0 |
Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
Убедитесь, что для параметра "Ограничить доступ к порталу администрирования Azure AD" задано значение "Да"
Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 1.14 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
Убедитесь, что параметр "Ограничить доступ пользователем к функциям групп в области доступа" имеет значение "Да"
Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 1.15 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
Убедитесь, что "Пользователи могут создавать группы безопасности в портал Azure, API или PowerShell" имеет значение "Нет".
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.16 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
Убедитесь, что параметр "Владельцы могут управлять запросами о членстве в группах на панели доступа" имеет значение "Нет"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.17 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
Убедитесь, что "Пользователи могут создавать группы Microsoft 365 в портал Azure, API или PowerShell" имеет значение "Нет".
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.18 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
Убедитесь, что для регистрации или соединения устройств с Azure AD требуется многофакторная проверка подлинности. Для параметра "Да"
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 1.19 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
Документирование обучения мобильности | CMA_0191 — Документирование обучения мобильности | Вручную, отключено | 1.1.0 |
Документирование инструкций по удаленному доступу | CMA_0196 — Документирование инструкций по удаленному доступу | Вручную, отключено | 1.1.0 |
Идентификация и аутентификация сетевых устройств | CMA_0296 — Идентификация и аутентификация сетевых устройств | Вручную, отключено | 1.1.0 |
Реализация элементов управления для защиты альтернативных рабочих сайтов | CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов | Вручную, отключено | 1.1.0 |
Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
Выполнение требований к качеству токена | CMA_0487 — Выполнение требований к качеству токена | Вручную, отключено | 1.1.0 |
Убедитесь, что параметр "Состояние многофакторной проверки подлинности" включен для всех пользователей, не являющихся привилегированными
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.2 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
Убедитесь, что пользовательские роли владельца подписки не создаются
Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 1.20 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Проектирование модели управления доступом | CMA_0129 — Проектирование модели управления доступом | Вручную, отключено | 1.1.0 |
Использование минимальных прав доступа | CMA_0212 — Использование минимальных прав доступа | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
Убедитесь, что параметры безопасности по умолчанию включены в Azure Active Directory
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.21 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
Аутентификация в криптографическом модуле | CMA_0021 — Аутентификация в криптографическом модуле | Вручную, отключено | 1.1.0 |
Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
Документирование обучения мобильности | CMA_0191 — Документирование обучения мобильности | Вручную, отключено | 1.1.0 |
Документирование инструкций по удаленному доступу | CMA_0196 — Документирование инструкций по удаленному доступу | Вручную, отключено | 1.1.0 |
Идентификация и аутентификация сетевых устройств | CMA_0296 — Идентификация и аутентификация сетевых устройств | Вручную, отключено | 1.1.0 |
Реализация элементов управления для защиты альтернативных рабочих сайтов | CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов | Вручную, отключено | 1.1.0 |
Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
Выполнение требований к качеству токена | CMA_0487 — Выполнение требований к качеству токена | Вручную, отключено | 1.1.0 |
Убедитесь, что пользовательская роль назначена разрешения для администрирования блокировок ресурсов
Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 1.22 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
Ежемесячная проверка гостевых пользователей
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.3 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
Переназначение или удаление привилегий пользователя при необходимости | CMA_C1040 — Переназначение или удаление привилегий пользователя при необходимости | Вручную, отключено | 1.1.0 |
Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
Проверка учетных записей пользователей | CMA_0480 — Проверка учетных записей пользователей | Вручную, отключено | 1.1.0 |
Проверка привилегий пользователя | CMA_C1039 — Проверка привилегий пользователя | Вручную, отключено | 1.1.0 |
Убедитесь, что включен параметр "Восстановить многофакторную проверку подлинности на всех запоминаемых устройствах"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.4 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
Идентификация и аутентификация сетевых устройств | CMA_0296 — Идентификация и аутентификация сетевых устройств | Вручную, отключено | 1.1.0 |
Выполнение требований к качеству токена | CMA_0487 — Выполнение требований к качеству токена | Вручную, отключено | 1.1.0 |
Убедитесь, что "Число дней до того, как пользователи просят повторно подтвердить свою проверку подлинности", не задано значение "0"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.6 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Автоматизация управления учетными записями | CMA_0026 — Автоматизация управления учетными записями | Вручную, отключено | 1.1.0 |
Управление системной учетной записью и учетной записью администратора | CMA_0368 — Управление системной учетной записью и учетной записью администратора | Вручную, отключено | 1.1.0 |
Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
Уведомление о том, что учетная запись не требуется | CMA_0383 — Уведомление о том, что учетная запись не требуется | Вручную, отключено | 1.1.0 |
Убедитесь, что параметр "Уведомлять пользователей о сбросе пароля?" имеет значение "Да"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.7 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Автоматизация управления учетными записями | CMA_0026 — Автоматизация управления учетными записями | Вручную, отключено | 1.1.0 |
Реализация обучения для защиты структур проверки подлинности | CMA_0329 — Реализация обучения для защиты структур проверки подлинности | Вручную, отключено | 1.1.0 |
Управление системной учетной записью и учетной записью администратора | CMA_0368 — Управление системной учетной записью и учетной записью администратора | Вручную, отключено | 1.1.0 |
Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
Уведомление о том, что учетная запись не требуется | CMA_0383 — Уведомление о том, что учетная запись не требуется | Вручную, отключено | 1.1.0 |
Убедитесь, что "Уведомите всех администраторов, когда другие администраторы сбрасывают свой пароль?" имеет значение "Да"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.8 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Автоматизация управления учетными записями | CMA_0026 — Автоматизация управления учетными записями | Вручную, отключено | 1.1.0 |
Реализация обучения для защиты структур проверки подлинности | CMA_0329 — Реализация обучения для защиты структур проверки подлинности | Вручную, отключено | 1.1.0 |
Управление системной учетной записью и учетной записью администратора | CMA_0368 — Управление системной учетной записью и учетной записью администратора | Вручную, отключено | 1.1.0 |
Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
Мониторинг назначения привилегированной роли | CMA_0378 — Мониторинг назначения привилегированной роли | Вручную, отключено | 1.1.0 |
Уведомление о том, что учетная запись не требуется | CMA_0383 — Уведомление о том, что учетная запись не требуется | Вручную, отключено | 1.1.0 |
Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
Отзыв привилегированных ролей при необходимости | CMA_0483 — Отзыв привилегированных ролей при необходимости | Вручную, отключено | 1.1.0 |
Использование Privileged Identity Management | CMA_0533 — Использование Privileged Identity Management | Вручную, отключено | 1.1.0 |
Убедитесь, что параметр "Пользователи могут разрешать приложениям доступ к корпоративным данным от своего имени" имеет значение "Нет"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.9 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
2 Microsoft Defender для облака
Убедитесь, что в Microsoft Defender для серверов задано значение "Вкл.
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.1 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
Обнаружение сетевых служб, которые не были авторизованы или утверждены | CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
Еженедельная проверка состояния защиты от угроз | CMA_0479 — Еженедельная проверка состояния защиты от угроз | Вручную, отключено | 1.1.0 |
Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
Убедитесь, что выбрана интеграция Microsoft Defender для облака приложений (MCAS) с Microsoft Defender для облака
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 2.10 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
Обнаружение сетевых служб, которые не были авторизованы или утверждены | CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
Еженедельная проверка состояния защиты от угроз | CMA_0479 — Еженедельная проверка состояния защиты от угроз | Вручную, отключено | 1.1.0 |
Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
Убедитесь, что автоматическая подготовка агента Log Analytics для виртуальных машин Azure имеет значение "Вкл."
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.11 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Документирование операций по обеспечению безопасности | CMA_0202 — Документирование операций по обеспечению безопасности | Вручную, отключено | 1.1.0 |
Включение датчиков для решения безопасности конечной точки | CMA_0514 — Включение датчиков для решения безопасности конечной точки | Вручную, отключено | 1.1.0 |
Убедитесь, что для параметра политики ASC по умолчанию не задано значение "Отключено"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.12 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Настройка действий для несоответствующих устройств | CMA_0062 — Настройка действий для несоответствующих устройств | Вручную, отключено | 1.1.0 |
Разработка и настройка базовых конфигураций | CMA_0153 — Разработка и настройка базовых конфигураций | Вручную, отключено | 1.1.0 |
Принудительное применение параметров конфигурации безопасности | CMA_0249 — Принудительное применение параметров конфигурации безопасности | Вручную, отключено | 1.1.0 |
Создание совета по контролю за конфигурацией | CMA_0254 — Создание совета по контролю за конфигурацией | Вручную, отключено | 1.1.0 |
Определение и документирование плана управления конфигурацией | CMA_0264 — Определение и документирование плана управления конфигурацией | Вручную, отключено | 1.1.0 |
Реализация средства автоматизированного управления конфигурацией | CMA_0311 — Реализация средства автоматизированного управления конфигурацией | Вручную, отключено | 1.1.0 |
Убедитесь, что "Дополнительные адреса электронной почты" настроены с помощью электронной почты контакта безопасности
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.13 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Убедитесь, что для параметра "Уведомление о оповещениях со следующим уровнем серьезности" задано значение "Высокий"
Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 2.14 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.2.0 |
Убедитесь, что в Microsoft Defender для Служба приложений задано значение "Вкл.
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.2 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
Обнаружение сетевых служб, которые не были авторизованы или утверждены | CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
Еженедельная проверка состояния защиты от угроз | CMA_0479 — Еженедельная проверка состояния защиты от угроз | Вручную, отключено | 1.1.0 |
Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
Убедитесь, что в Microsoft Defender для База данных SQL Azure задано значение "Вкл.
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.3 Владения: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
Обнаружение сетевых служб, которые не были авторизованы или утверждены | CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
Еженедельная проверка состояния защиты от угроз | CMA_0479 — Еженедельная проверка состояния защиты от угроз | Вручную, отключено | 1.1.0 |
Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
Убедитесь, что Microsoft Defender для серверов SQL на компьютерах имеет значение "Вкл."
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 2.4 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
Обнаружение сетевых служб, которые не были авторизованы или утверждены | CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
Еженедельная проверка состояния защиты от угроз | CMA_0479 — Еженедельная проверка состояния защиты от угроз | Вручную, отключено | 1.1.0 |
Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
Убедитесь, что в Microsoft Defender для хранилища задано значение "Вкл.
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.5 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
Обнаружение сетевых служб, которые не были авторизованы или утверждены | CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
Еженедельная проверка состояния защиты от угроз | CMA_0479 — Еженедельная проверка состояния защиты от угроз | Вручную, отключено | 1.1.0 |
Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
Убедитесь, что в Microsoft Defender для Kubernetes задано значение "Вкл."
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.6 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
Обнаружение сетевых служб, которые не были авторизованы или утверждены | CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
Еженедельная проверка состояния защиты от угроз | CMA_0479 — Еженедельная проверка состояния защиты от угроз | Вручную, отключено | 1.1.0 |
Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
Убедитесь, что в Microsoft Defender для реестров контейнеров задано значение "Вкл.
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.7 Владения: Общие сведения
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
Обнаружение сетевых служб, которые не были авторизованы или утверждены | CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
Еженедельная проверка состояния защиты от угроз | CMA_0479 — Еженедельная проверка состояния защиты от угроз | Вручную, отключено | 1.1.0 |
Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
Убедитесь, что в Microsoft Defender для Key Vault задано значение "Вкл."
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.8 Владение: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
Обнаружение сетевых служб, которые не были авторизованы или утверждены | CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
Еженедельная проверка состояния защиты от угроз | CMA_0479 — Еженедельная проверка состояния защиты от угроз | Вручную, отключено | 1.1.0 |
Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
Убедитесь, что выбрана интеграция Microsoft Defender для конечной точки (WDATP) с Microsoft Defender для облака
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.9 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
Обнаружение сетевых служб, которые не были авторизованы или утверждены | CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
Еженедельная проверка состояния защиты от угроз | CMA_0479 — Еженедельная проверка состояния защиты от угроз | Вручную, отключено | 1.1.0 |
Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
3. Учетные записи хранения
Обеспечение того, что для параметра "Требуется безопасное перемещение" задано значение "Включено"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.1 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
Убедитесь, что ведение журнала хранилища включено для службы BLOB-объектов для запросов "Чтение", "Запись" и "Удаление"
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 3.10 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Настройка возможностей аудита Azure | CMA_C1108. Настройка возможностей аудита Azure | Вручную, отключено | 1.1.1 |
Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
Убедитесь, что ведение журнала хранилища включено для службы таблиц для запросов "Чтение", "Запись" и "Удаление"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.11 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Настройка возможностей аудита Azure | CMA_C1108. Настройка возможностей аудита Azure | Вручную, отключено | 1.1.1 |
Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
Убедитесь, что для минимальной версии TLS задано значение "Версия 1.2".
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 3.12 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
Убедитесь, что ключи доступа к учетной записи хранения периодически повторно создаются
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.2 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
Определение требований организации к управлению криптографическими ключами | CMA_0123 — Определение требований организации к управлению криптографическими ключами | Вручную, отключено | 1.1.0 |
Определение требований к утверждению | CMA_0136 — Определение требований к утверждению | Вручную, отключено | 1.1.0 |
Выдача сертификатов открытого ключа | CMA_0347 — Выдача сертификатов открытого ключа | Вручную, отключено | 1.1.0 |
Управление симметричными криптографическими ключами | CMA_0367 — Управление симметричными криптографическими ключами | Вручную, отключено | 1.1.0 |
Ограничение доступа к закрытым ключам | CMA_0445 — Ограничение доступа к закрытым ключам | Вручную, отключено | 1.1.0 |
Убедитесь, что ведение журнала хранилища включено для службы очередей для запросов "Чтение", "Запись" и "Удаление"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.3 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Настройка возможностей аудита Azure | CMA_C1108. Настройка возможностей аудита Azure | Вручную, отключено | 1.1.1 |
Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
Убедитесь, что срок действия маркеров подписи общего доступа истекает в течение часа
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.4 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Отключение структур проверки подлинности при удалении | CMA_0169 — Отключение структур проверки подлинности при удалении | Вручную, отключено | 1.1.0 |
Отзыв привилегированных ролей при необходимости | CMA_0483 — Отзыв привилегированных ролей при необходимости | Вручную, отключено | 1.1.0 |
Автоматическое завершение сеанса пользователя | CMA_C1054 — Автоматическое завершение сеанса пользователя | Вручную, отключено | 1.1.0 |
Обеспечение того, что для параметра "Уровень общего доступа" задано значение "Частный" для контейнеров BLOB-объектов
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 3.5 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен | Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
Убедитесь, что правило доступа к сети по умолчанию для учетных записей хранения имеет значение "Запретить"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.6 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Audit, Deny, Disabled | 1.0.1 |
Убедитесь, что для доступа к учетной записи хранения включены доверенные службы Майкрософт
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.7 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
Применение механизмов управления потоком зашифрованных данных | CMA_0211 — Применение механизмов управления потоком зашифрованных данных | Вручную, отключено | 1.1.0 |
Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. | Audit, Deny, Disabled | 1.0.0 |
Обеспечение шифрования хранилища критически важных данных с помощью ключей, управляемых клиентом
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 3.9 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Создание процедуры управления утечкой данных | CMA_0255 — Создание процедуры управления утечкой данных | Вручную, отключено | 1.1.0 |
Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита специальной информации | CMA_0409 — Защита специальной информации | Вручную, отключено | 1.1.0 |
В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Audit, Disabled | 1.0.3 |
4. Службы баз данных
Обеспечение того, что для параметра "Аудит" задано значение "Вкл."
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.1.1 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
Обеспечение того, что для параметра "Шифрование данных" в Базе данных SQL установлено значение "Вкл."
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.1.2: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Создание процедуры управления утечкой данных | CMA_0255 — Создание процедуры управления утечкой данных | Вручную, отключено | 1.1.0 |
Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита специальной информации | CMA_0409 — Защита специальной информации | Вручную, отключено | 1.1.0 |
В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, Disabled | 2.0.0 |
Обеспечение того, что задан период хранения данных аудита более 90 дней
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.1.3 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Соблюдение заданных периодов хранения | CMA_0004 — Соблюдение заданных периодов хранения | Вручную, отключено | 1.1.0 |
Управление действиями по обработке данных аудита и их мониторинг | CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг | Вручную, отключено | 1.1.0 |
Сохранение политик и процедур безопасности | CMA_0454 — Сохранение политик и процедур безопасности | Вручную, отключено | 1.1.0 |
Сохранение данных удаленных пользователей | CMA_0455 — Сохранение данных удаленных пользователей | Вручную, отключено | 1.1.0 |
Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. | AuditIfNotExists, Disabled | 3.0.0 |
Убедитесь, что параметр Advanced Threat Protection (ATP) на SQL Server имеет значение "Включено"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.2.1 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Обеспечение того, что оценка уязвимостей включена на сервере SQL путем задания учетной записи хранения
Идентификатор: рекомендация 4.2.2.2.2 Benchmark cis для платформы CIS: shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 3.0.0 |
Убедитесь, что параметр VA "Периодические повторяющиеся проверки" имеет значение "On" для каждого СЕРВЕРА SQL Server
Идентификатор: рекомендация 4.2.3 По обеспечению владения cis Microsoft Azure Foundations Benchmark: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Убедитесь, что параметр VA "Отправить отчеты проверки" настроен для SQL Server
Идентификатор: рекомендация 4.2.4 Владения cis Microsoft Azure Foundations Benchmark: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Корреляция сведений об проверке уязвимостей | CMA_C1558 . Сопоставление сведений об проверке уязвимостей | Вручную, отключено | 1.1.1 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Убедитесь, что для каждого SQL Server задан параметр оценки уязвимостей "Также отправлять Уведомления по электронной почте администраторам и владельцам подписок".
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.2.5: shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Корреляция сведений об проверке уязвимостей | CMA_C1558 . Сопоставление сведений об проверке уязвимостей | Вручную, отключено | 1.1.1 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Обеспечение того, что параметр "Принудительно использовать SSL-соединение" включен для сервера баз данных PostgreSQL
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.3.1 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
Убедитесь, что параметр сервера "log_checkpoints" имеет значение ON для сервера Postgre База данных SQL
Идентификатор: рекомендация 4.3.2 По обеспечению владения cis Microsoft Azure Foundations Benchmark: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
На серверах баз данных PostgreSQL должны быть включены контрольные точки журнала | Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, в которых не включен параметр log_checkpoints. | AuditIfNotExists, Disabled | 1.0.0 |
Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
Обеспечение того, что параметр log_connections включен для сервера базы данных PostgreSQL
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.3.3 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
На серверах баз данных PostgreSQL должны быть включены журналы подключений | Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_connections. | AuditIfNotExists, Disabled | 1.0.0 |
Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
Обеспечение того, что параметр log_disconnections включен для сервера базы данных PostgreSQL
Идентификатор: рекомендация 4.3.4 Владения cis Microsoft Azure Foundations Benchmark: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
На серверах баз данных PostgreSQL должны быть включены журналы отключений. | Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_disconnections. | AuditIfNotExists, Disabled | 1.0.0 |
Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
Обеспечение того, что параметр connection_throttling включен для сервера базы данных PostgreSQL
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.3.5 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Для серверов баз данных PostgreSQL должно быть включено регулирование подключения | Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включено регулирование подключения. Этот параметр обеспечивает временное регулирование подключений по IP-адресу при слишком большом числе неудачных попыток входа с паролем. | AuditIfNotExists, Disabled | 1.0.0 |
Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
Убедитесь, что параметр сервера "log_retention_days" для сервера базы данных PostgreSQL имеет значение больше 3 дней
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.3.6: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Соблюдение заданных периодов хранения | CMA_0004 — Соблюдение заданных периодов хранения | Вручную, отключено | 1.1.0 |
Управление действиями по обработке данных аудита и их мониторинг | CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг | Вручную, отключено | 1.1.0 |
Сохранение политик и процедур безопасности | CMA_0454 — Сохранение политик и процедур безопасности | Вручную, отключено | 1.1.0 |
Сохранение данных удаленных пользователей | CMA_0455 — Сохранение данных удаленных пользователей | Вручную, отключено | 1.1.0 |
Убедитесь, что параметр "Разрешить доступ к службам Azure" для сервера базы данных PostgreSQL отключен
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.3.7 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
Применение механизмов управления потоком зашифрованных данных | CMA_0211 — Применение механизмов управления потоком зашифрованных данных | Вручную, отключено | 1.1.0 |
Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
Убедитесь, что параметр "Двойное шифрование инфраструктуры" для Postgre База данных SQL Server имеет значение "Включено"
Идентификатор: рекомендация 4.3.8 По обеспечению владения cis Microsoft Azure Foundations Benchmark: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Создание процедуры управления утечкой данных | CMA_0255 — Создание процедуры управления утечкой данных | Вручную, отключено | 1.1.0 |
Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита специальной информации | CMA_0409 — Защита специальной информации | Вручную, отключено | 1.1.0 |
Убедитесь, что параметр "Принудительное подключение SSL" имеет значение "Включено" для сервера "Стандартный"База данных SQL
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.4.1 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
Убедитесь, что для гибкого сервера базы данных MySQL задано значение TLSV1.2.
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.4.2: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
Обеспечение того, что администратор Azure Active Directory настроен
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.5 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
Автоматизация управления учетными записями | CMA_0026 — Автоматизация управления учетными записями | Вручную, отключено | 1.1.0 |
Управление системной учетной записью и учетной записью администратора | CMA_0368 — Управление системной учетной записью и учетной записью администратора | Вручную, отключено | 1.1.0 |
Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
Уведомление о том, что учетная запись не требуется | CMA_0383 — Уведомление о том, что учетная запись не требуется | Вручную, отключено | 1.1.0 |
Обеспечение того, что предохранитель TDE сервера SQL зашифрован с помощью ключа, управляемого клиентом
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.6 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Создание процедуры управления утечкой данных | CMA_0255 — Создание процедуры управления утечкой данных | Вручную, отключено | 1.1.0 |
Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита специальной информации | CMA_0409 — Защита специальной информации | Вручную, отключено | 1.1.0 |
Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.0 |
Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.1 |
5. Ведение журналов и мониторинг
Убедитесь, что существует параметр диагностики
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.1 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
Убедитесь, что параметр диагностики охватывает соответствующие категории
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.2 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Настройка возможностей аудита Azure | CMA_C1108. Настройка возможностей аудита Azure | Вручную, отключено | 1.1.1 |
Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
Обеспечение того, что хранение журналов действий в контейнере хранилища не является общедоступным
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.3 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен | Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
Включение двойной или совместной авторизации | CMA_0226 — Включение двойной или совместной авторизации | Вручную, отключено | 1.1.0 |
Защита данных аудита | CMA_0401 — Защита данных аудита | Вручную, отключено | 1.1.0 |
Обеспечение того, что учетная запись хранения, содержащая контейнер с журналами действий, зашифрована с помощью BYOK
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.4 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Включение двойной или совместной авторизации | CMA_0226 — Включение двойной или совместной авторизации | Вручную, отключено | 1.1.0 |
Поддержание целостности системы аудита | CMA_C1133 — Поддержание целостности системы аудита | Вручную, отключено | 1.1.0 |
Защита данных аудита | CMA_0401 — Защита данных аудита | Вручную, отключено | 1.1.0 |
Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK | Эта политика проверяет, зашифрована ли учетная запись хранения, содержащая контейнер с журналами действий, с помощью BYOK. Эта политика применяется только в том случае, если проект реализован так, что учетная запись хранения находится в той же подписке, что и журналы действий. Дополнительные сведения о шифровании неактивных данных в службе хранилища Azure см. на странице https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что для параметр ведения журнала для Azure KeyVault включен
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.5 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
Обеспечение того, что для операции создания назначения политики существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.1 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Оповещение сотрудников об утечке информации | CMA_0007 — Оповещение сотрудников об утечке информации | Вручную, отключено | 1.1.0 |
Для определенных операций политики должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 3.0.0 |
Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
Включение оповещения журнала действий для операции удаления назначения политики
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.2 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Оповещение сотрудников об утечке информации | CMA_0007 — Оповещение сотрудников об утечке информации | Вручную, отключено | 1.1.0 |
Для определенных операций политики должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 3.0.0 |
Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
Обеспечение того, что для операции создания или обновления группы безопасности сети существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.3 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Оповещение сотрудников об утечке информации | CMA_0007 — Оповещение сотрудников об утечке информации | Вручную, отключено | 1.1.0 |
Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
Обеспечение того, что для операции удаления группы безопасности сети существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.4 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Оповещение сотрудников об утечке информации | CMA_0007 — Оповещение сотрудников об утечке информации | Вручную, отключено | 1.1.0 |
Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
Обеспечение того, что для операции создания или обновления группы безопасности сети существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.5 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Оповещение сотрудников об утечке информации | CMA_0007 — Оповещение сотрудников об утечке информации | Вручную, отключено | 1.1.0 |
Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
Обеспечение того, что для операции удаления правила группы безопасности сети существует оповещение журнала действий
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 5.2.6 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Оповещение сотрудников об утечке информации | CMA_0007 — Оповещение сотрудников об утечке информации | Вручную, отключено | 1.1.0 |
Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
Обеспечение того, что для операции создания или обновления решения безопасности существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.7 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Оповещение сотрудников об утечке информации | CMA_0007 — Оповещение сотрудников об утечке информации | Вручную, отключено | 1.1.0 |
Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
Обеспечение того, что для операции удаления решения безопасности существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.8 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Оповещение сотрудников об утечке информации | CMA_0007 — Оповещение сотрудников об утечке информации | Вручную, отключено | 1.1.0 |
Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
Обеспечение того, что для операции создания, обновления или удаления правила брандмауэра SQL Server существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.9 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Оповещение сотрудников об утечке информации | CMA_0007 — Оповещение сотрудников об утечке информации | Вручную, отключено | 1.1.0 |
Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации | Вручную, отключено | 1.1.0 |
Убедитесь, что журналы диагностики включены для всех служб, поддерживающих ее.
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.3 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Соблюдение заданных периодов хранения | CMA_0004 — Соблюдение заданных периодов хранения | Вручную, отключено | 1.1.0 |
В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 2.0.1 |
Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
Настройка возможностей аудита Azure | CMA_C1108. Настройка возможностей аудита Azure | Вручную, отключено | 1.1.1 |
Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
Управление действиями по обработке данных аудита и их мониторинг | CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг | Вручную, отключено | 1.1.0 |
В Azure Data Lake Storage должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В Azure Stream Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В учетных записях пакетной службы должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В Data Lake Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В Центре событий должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В Центре Интернета вещей должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 3.1.0 |
В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В Logic Apps должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.1.0 |
В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
Сохранение политик и процедур безопасности | CMA_0454 — Сохранение политик и процедур безопасности | Вручную, отключено | 1.1.0 |
Сохранение данных удаленных пользователей | CMA_0455 — Сохранение данных удаленных пользователей | Вручную, отключено | 1.1.0 |
Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
6. Сеть
Убедитесь, что базы данных SQL разрешают входящий трафик с 0.0.0.0/0 (любой IP-адрес)
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 6.3 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
Применение механизмов управления потоком зашифрованных данных | CMA_0211 — Применение механизмов управления потоком зашифрованных данных | Вручную, отключено | 1.1.0 |
Убедитесь, что период хранения журнала потоков группы безопасности сети превышает 90 дней
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 6.4 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Соблюдение заданных периодов хранения | CMA_0004 — Соблюдение заданных периодов хранения | Вручную, отключено | 1.1.0 |
Сохранение политик и процедур безопасности | CMA_0454 — Сохранение политик и процедур безопасности | Вручную, отключено | 1.1.0 |
Сохранение данных удаленных пользователей | CMA_0455 — Сохранение данных удаленных пользователей | Вручную, отключено | 1.1.0 |
Обеспечение того, что служба "Наблюдатель за сетями" включена
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 6.5 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
Проверка функций безопасности | CMA_C1708 — Проверка функций безопасности | Вручную, отключено | 1.1.0 |
7. Виртуальные машины
Обеспечение использование Управляемых дисков виртуальными машинами.
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.1 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Аудит виртуальных машин, которые не используют управляемые диски | Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски. | audit | 1.0.0 |
Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
Управление вводом, выводом, обработкой и хранением данных | CMA_0369 — Управление вводом, выводом, обработкой и хранением данных | Вручную, отключено | 1.1.0 |
Просмотр действий меток и аналитики | CMA_0474 — Просмотр действий меток и аналитики | Вручную, отключено | 1.1.0 |
Убедитесь, что диски ОС и данных шифруются с помощью управляемого клиента ключа (CMK)
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.2 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Создание процедуры управления утечкой данных | CMA_0255 — Создание процедуры управления утечкой данных | Вручную, отключено | 1.1.0 |
Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита специальной информации | CMA_0409 — Защита специальной информации | Вручную, отключено | 1.1.0 |
Обеспечение шифрования неподключенных дисков с помощью ключа, управляемого клиентом.
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.3 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Создание процедуры управления утечкой данных | CMA_0255 — Создание процедуры управления утечкой данных | Вручную, отключено | 1.1.0 |
Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита специальной информации | CMA_0409 — Защита специальной информации | Вручную, отключено | 1.1.0 |
Убедитесь, что установлены только утвержденные расширения
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.4 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Должны быть установлены только утвержденные расширения виртуальных машин | Эта политика управляет неутвержденными расширениями виртуальных машин. | Audit, Deny, Disabled | 1.0.0 |
Обеспечение того, что для всех виртуальных машин установлены последние исправления ОС
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.5 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Обеспечение того, что защита конечной точки установлена для всех виртуальных машин
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.6 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
Документирование операций по обеспечению безопасности | CMA_0202 — Документирование операций по обеспечению безопасности | Вручную, отключено | 1.1.0 |
Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
Еженедельная проверка состояния защиты от угроз | CMA_0479 — Еженедельная проверка состояния защиты от угроз | Вручную, отключено | 1.1.0 |
Включение датчиков для решения безопасности конечной точки | CMA_0514 — Включение датчиков для решения безопасности конечной точки | Вручную, отключено | 1.1.0 |
Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
Проверка программного обеспечения, встроенного ПО и целостности данных | CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных | Вручную, отключено | 1.1.0 |
Убедитесь, что виртуальный жесткий диск зашифрован
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.7 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Создание процедуры управления утечкой данных | CMA_0255 — Создание процедуры управления утечкой данных | Вручную, отключено | 1.1.0 |
Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита специальной информации | CMA_0409 — Защита специальной информации | Вручную, отключено | 1.1.0 |
8. Прочие вопросы по безопасности
Убедитесь, что дата окончания срока действия задана для всех ключей в хранилищах ключей RBAC
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.1 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
Определение требований организации к управлению криптографическими ключами | CMA_0123 — Определение требований организации к управлению криптографическими ключами | Вручную, отключено | 1.1.0 |
Определение требований к утверждению | CMA_0136 — Определение требований к утверждению | Вручную, отключено | 1.1.0 |
Выдача сертификатов открытого ключа | CMA_0347 — Выдача сертификатов открытого ключа | Вручную, отключено | 1.1.0 |
Для ключей Key Vault должна быть задана дата окончания срока действия | Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. | Audit, Deny, Disabled | 1.0.2 |
Управление симметричными криптографическими ключами | CMA_0367 — Управление симметричными криптографическими ключами | Вручную, отключено | 1.1.0 |
Ограничение доступа к закрытым ключам | CMA_0445 — Ограничение доступа к закрытым ключам | Вручную, отключено | 1.1.0 |
Убедитесь, что дата окончания срока действия задана для всех ключей в хранилищах ключей, отличных от RBAC.
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.2 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
Определение требований организации к управлению криптографическими ключами | CMA_0123 — Определение требований организации к управлению криптографическими ключами | Вручную, отключено | 1.1.0 |
Определение требований к утверждению | CMA_0136 — Определение требований к утверждению | Вручную, отключено | 1.1.0 |
Выдача сертификатов открытого ключа | CMA_0347 — Выдача сертификатов открытого ключа | Вручную, отключено | 1.1.0 |
Для ключей Key Vault должна быть задана дата окончания срока действия | Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. | Audit, Deny, Disabled | 1.0.2 |
Управление симметричными криптографическими ключами | CMA_0367 — Управление симметричными криптографическими ключами | Вручную, отключено | 1.1.0 |
Ограничение доступа к закрытым ключам | CMA_0445 — Ограничение доступа к закрытым ключам | Вручную, отключено | 1.1.0 |
Убедитесь, что дата окончания срока действия задана для всех секретов в хранилищах ключей RBAC
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 8.3 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
Определение требований организации к управлению криптографическими ключами | CMA_0123 — Определение требований организации к управлению криптографическими ключами | Вручную, отключено | 1.1.0 |
Определение требований к утверждению | CMA_0136 — Определение требований к утверждению | Вручную, отключено | 1.1.0 |
Выдача сертификатов открытого ключа | CMA_0347 — Выдача сертификатов открытого ключа | Вручную, отключено | 1.1.0 |
Для секретов Key Vault должна быть задана дата окончания срока действия | Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия. | Audit, Deny, Disabled | 1.0.2 |
Управление симметричными криптографическими ключами | CMA_0367 — Управление симметричными криптографическими ключами | Вручную, отключено | 1.1.0 |
Ограничение доступа к закрытым ключам | CMA_0445 — Ограничение доступа к закрытым ключам | Вручную, отключено | 1.1.0 |
Убедитесь, что дата окончания срока действия задана для всех секретов в хранилищах ключей, отличных от RBAC
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.4 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
Определение требований организации к управлению криптографическими ключами | CMA_0123 — Определение требований организации к управлению криптографическими ключами | Вручную, отключено | 1.1.0 |
Определение требований к утверждению | CMA_0136 — Определение требований к утверждению | Вручную, отключено | 1.1.0 |
Выдача сертификатов открытого ключа | CMA_0347 — Выдача сертификатов открытого ключа | Вручную, отключено | 1.1.0 |
Для секретов Key Vault должна быть задана дата окончания срока действия | Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия. | Audit, Deny, Disabled | 1.0.2 |
Управление симметричными криптографическими ключами | CMA_0367 — Управление симметричными криптографическими ключами | Вручную, отключено | 1.1.0 |
Ограничение доступа к закрытым ключам | CMA_0445 — Ограничение доступа к закрытым ключам | Вручную, отключено | 1.1.0 |
Убедитесь, что блокировки ресурсов настроены для критически важных ресурсов Azure
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.5 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
Обеспечение того, что хранилище ключей поддерживает восстановление
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.6 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
В хранилищах ключей должна быть включена защита от удаления | Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. | Audit, Deny, Disabled | 2.1.0 |
Поддержание доступности информации | CMA_C1644 — Поддержание доступности информации | Вручную, отключено | 1.1.0 |
Включение управления доступом на основе ролей (RBAC) в службе Azure Kubernetes
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 8.7 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) | Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. | Audit, Disabled | 1.0.4 |
9. Служба приложений
Убедитесь, что проверка подлинности Служба приложений настроена для приложений в службе приложение Azure
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.1 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
В приложениях Службы приложений должна быть включена проверка подлинности | Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к веб-приложению для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами. | AuditIfNotExists, Disabled | 2.0.1 |
Аутентификация в криптографическом модуле | CMA_0021 — Аутентификация в криптографическом модуле | Вручную, отключено | 1.1.0 |
Принудительное обеспечение уникальности пользователей | CMA_0250 — Принудительное обеспечение уникальности пользователей | Вручную, отключено | 1.1.0 |
В приложениях-функциях должна быть включена проверка подлинности | Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к приложению-функции для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами. | AuditIfNotExists, Disabled | 3.0.0 |
Поддержка личных учетных данных для проверки, выданных юридическими органами | CMA_0507 — Поддержка личных учетных данных для проверки, выданных юридическими органами | Вручную, отключено | 1.1.0 |
Убедитесь, что развертывания FTP отключены
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 9.10 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Приложения Службы приложений должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
Приложения-функции должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
Убедитесь, что ключи Azure используются для хранения секретов
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 9.11 : Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
Определение требований организации к управлению криптографическими ключами | CMA_0123 — Определение требований организации к управлению криптографическими ключами | Вручную, отключено | 1.1.0 |
Определение требований к утверждению | CMA_0136 — Определение требований к утверждению | Вручную, отключено | 1.1.0 |
Охват механизмов шифрования системой управления конфигурацией | CMA_C1199 — Охват механизмов шифрования системой управления конфигурацией | Вручную, отключено | 1.1.0 |
Выдача сертификатов открытого ключа | CMA_0347 — Выдача сертификатов открытого ключа | Вручную, отключено | 1.1.0 |
Поддержание доступности информации | CMA_C1644 — Поддержание доступности информации | Вручную, отключено | 1.1.0 |
Управление симметричными криптографическими ключами | CMA_0367 — Управление симметричными криптографическими ключами | Вручную, отключено | 1.1.0 |
Ограничение доступа к закрытым ключам | CMA_0445 — Ограничение доступа к закрытым ключам | Вручную, отключено | 1.1.0 |
Убедитесь, что веб-приложение перенаправляет весь HTTP-трафик на HTTPS в службе приложение Azure
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.2 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
Убедитесь, что веб-приложение использует последнюю версию шифрования TLS
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.3 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.1.0 |
Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
Параметр "Сертификаты клиента (входящие сертификаты клиента)" для веб-приложения должен иметь значение "Вкл."
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.4 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
[Не рекомендуется]: приложения-функции должны иметь значение "Сертификаты клиента (Входящие сертификаты клиента)" | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов. | Audit, Disabled | 3.1.0-устаревший |
Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
Аутентификация в криптографическом модуле | CMA_0021 — Аутентификация в криптографическом модуле | Вручную, отключено | 1.1.0 |
В службе приложений должна быть включена регистрация в Azure Active Directory
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.5 Ответственность: Общий доступ
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
Автоматизация управления учетными записями | CMA_0026 — Автоматизация управления учетными записями | Вручную, отключено | 1.1.0 |
Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
Управление системной учетной записью и учетной записью администратора | CMA_0368 — Управление системной учетной записью и учетной записью администратора | Вручную, отключено | 1.1.0 |
Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
Уведомление о том, что учетная запись не требуется | CMA_0383 — Уведомление о том, что учетная запись не требуется | Вручную, отключено | 1.1.0 |
Убедитесь, что "версия PHP" является последней, если используется для запуска веб-приложения
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.6 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Убедитесь, что версия Python является последней стабильной версией, если используется для запуска веб-приложения.
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.7 Ownership: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Убедитесь, что версия Java является последней, если используется для запуска веб-приложения.
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.8 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Убедитесь, что "ВЕРСИЯ HTTP" является последней, если используется для запуска веб-приложения.
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.9 Ответственность: Shared
Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
---|---|---|---|
Приложения Службы приложений должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
Приложения-функции должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
Следующие шаги
Дополнительные статьи о Политике Azure:
- Обзор соответствия нормативным требованиям.
- См. структуру определения инициативы.
- См. другие примеры шаблонов для Политики Azure.
- Изучите сведения о действии политик.
- Узнайте, как исправлять несоответствующие ресурсы.