Поделиться через


Сведения о встроенной инициативе по соответствию требованиям стандарта FedRAMP Moderate

В следующей статье подробно описано, как определение встроенной инициативы Политики Azure по соответствию нормативным требованиям сопоставляется с областями соответствия нормативным требованиям и элементами управления в стандарте FedRAMP Moderate. Дополнительные сведения об этом стандарте см. здесь. Чтобы понять право владения, просмотрите тип политики и общую ответственность в облаке.

Далее представлены сопоставления для элементов управления FedRAMP Moderate. Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенное определение инициативы FedRAMP Moderate по обеспечению соответствия нормативным требованиям.

Внимание

Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.

Управление доступом

политика и процедуры контроль доступа

Идентификатор: FedRAMP Умеренное владение AC-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка политик и процедур управления доступом CMA_0144. Разработка политик и процедур управления доступом Вручную, отключено 1.1.0
Принудительное применение обязательных и избирательных политик управления доступом CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом Вручную, отключено 1.1.0
Управление политиками и процедурами CMA_0292 . Управление политиками и процедурами Вручную, отключено 1.1.0
Проверка политик и процедур управления доступом CMA_0457. Проверка политик и процедур управления доступом Вручную, отключено 1.1.0

Управление учетными записями

Идентификатор: FedRAMP Moderate AC-2 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Подписке должно быть назначено не более 3 владельцев Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. AuditIfNotExists, Disabled 3.0.0
Для серверов SQL должен быть подготовлен администратор Azure Active Directory Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. AuditIfNotExists, Disabled 1.0.0
Приложения Службы приложений должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Назначение диспетчеров учетных записей CMA_0015. Назначение диспетчеров учетных записей Вручную, отключено 1.1.0
Аудит использования пользовательских ролей RBAC Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. Audit, Disabled 1.0.1
Аудит состояния учетной записи пользователя CMA_0020 — Аудит состояния учетной записи пользователя Вручную, отключено 1.1.0
Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. Audit, Deny, Disabled 1.1.0
Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. AuditIfNotExists, Disabled 1.0.0
Определение и применение условий для общих и групповых учетных записей CMA_0117. Определение и применение условий для общих и групповых учетных записей Вручную, отключено 1.1.0
Определение типов учетных записей информационной системы CMA_0121. Определение типов учетных записей информационной системы Вручную, отключено 1.1.0
Права доступа к документам CMA_0186 . Права доступа к документам Вручную, отключено 1.1.0
Создание условий для членства в роли CMA_0269. Создание условий для членства в роли Вручную, отключено 1.1.0
Приложения-функции должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Мониторинг действий учетной записи CMA_0377. Мониторинг действий учетной записи Вручную, отключено 1.1.0
Уведомление диспетчеров учетных записей, контролируемых клиентом CMA_C1009 . Уведомление диспетчеров учетных записей, контролируемых клиентом Вручную, отключено 1.1.0
Повторная проверка подлинности для измененных групп и учетных записей CMA_0426 — повторное выполнение проверки подлинности для измененных групп и учетных записей Вручную, отключено 1.1.0
Требование утверждения для создания учетной записи CMA_0431 — Требование утверждения для создания учетной записи Вручную, отключено 1.1.0
Ограничение доступа к привилегированным учетным записям CMA_0446 — Ограничение доступа к привилегированным учетным записям Вручную, отключено 1.1.0
Проверка журналов подготовки учетных записей CMA_0460 — Проверка журналов подготовки учетных записей Вручную, отключено 1.1.0
Проверка учетных записей пользователей CMA_0480 — Проверка учетных записей пользователей Вручную, отключено 1.1.0
Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric Audit, Deny, Disabled 1.1.0

Автоматическое управление системными учетными записями

Идентификатор: FedRAMP Moderate AC-2 (1) Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для серверов SQL должен быть подготовлен администратор Azure Active Directory Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. AuditIfNotExists, Disabled 1.0.0
Автоматизация управления учетными записями CMA_0026 — Автоматизация управления учетными записями Вручную, отключено 1.1.0
Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. Audit, Deny, Disabled 1.1.0
Управление системной учетной записью и учетной записью администратора CMA_0368 — Управление системной учетной записью и учетной записью администратора Вручную, отключено 1.1.0
Мониторинг доступа в организации CMA_0376 — Мониторинг доступа в организации Вручную, отключено 1.1.0
Уведомление о том, что учетная запись не требуется CMA_0383 — Уведомление о том, что учетная запись не требуется Вручную, отключено 1.1.0
Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric Audit, Deny, Disabled 1.1.0

Отключить неактивные учетные записи

Идентификатор: FedRAMP Умеренный AC-2 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Отключение структур проверки подлинности при удалении CMA_0169 — Отключение структур проверки подлинности при удалении Вручную, отключено 1.1.0
Отзыв привилегированных ролей при необходимости CMA_0483 — Отзыв привилегированных ролей при необходимости Вручную, отключено 1.1.0

Автоматические действия по аудиту

Идентификатор: FedRAMP Умеренный AC-2 (4) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Аудит состояния учетной записи пользователя CMA_0020 — Аудит состояния учетной записи пользователя Вручную, отключено 1.1.0
Автоматизация управления учетными записями CMA_0026 — Автоматизация управления учетными записями Вручную, отключено 1.1.0
Управление системной учетной записью и учетной записью администратора CMA_0368 — Управление системной учетной записью и учетной записью администратора Вручную, отключено 1.1.0
Мониторинг доступа в организации CMA_0376 — Мониторинг доступа в организации Вручную, отключено 1.1.0
Уведомление о том, что учетная запись не требуется CMA_0383 — Уведомление о том, что учетная запись не требуется Вручную, отключено 1.1.0

Выход из системы при бездействии

Идентификатор: FedRAMP Умеренный AC-2 (5) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение и применение политики журнала бездействия CMA_C1017. Определение и применение политики журнала бездействия Вручную, отключено 1.1.0

Схемы на основе ролей

Идентификатор: FedRAMP Moderate AC-2 (7) Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для серверов SQL должен быть подготовлен администратор Azure Active Directory Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. AuditIfNotExists, Disabled 1.0.0
Аудит привилегированных функций CMA_0019 — Аудит привилегированных функций Вручную, отключено 1.1.0
Аудит использования пользовательских ролей RBAC Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. Audit, Disabled 1.0.1
Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. Audit, Deny, Disabled 1.1.0
Мониторинг действий учетной записи CMA_0377. Мониторинг действий учетной записи Вручную, отключено 1.1.0
Мониторинг назначения привилегированной роли CMA_0378 — Мониторинг назначения привилегированной роли Вручную, отключено 1.1.0
Ограничение доступа к привилегированным учетным записям CMA_0446 — Ограничение доступа к привилегированным учетным записям Вручную, отключено 1.1.0
Отзыв привилегированных ролей при необходимости CMA_0483 — Отзыв привилегированных ролей при необходимости Вручную, отключено 1.1.0
Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric Audit, Deny, Disabled 1.1.0
Использование Privileged Identity Management CMA_0533 — Использование Privileged Identity Management Вручную, отключено 1.1.0

Ограничения на использование общих групп и учетных записей

Идентификатор: FedRAMP Умеренный AC-2 (9) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение и применение условий для общих и групповых учетных записей CMA_0117. Определение и применение условий для общих и групповых учетных записей Вручную, отключено 1.1.0

Прекращение действия учетных данных общих и групповых учетных записей

Идентификатор: FedRAMP Умеренный AC-2 (10) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Завершение учетных данных учетной записи, контролируемых клиентом CMA_C1022. Завершение учетных данных учетной записи, управляемой клиентом Вручную, отключено 1.1.0

Мониторинг или необычное использование учетной записи

Идентификатор: FedRAMP Moderate AC-2 (12) Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для Resource Manager должен быть включен Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Мониторинг действий учетной записи CMA_0377. Мониторинг действий учетной записи Вручную, отключено 1.1.0
Отчет о нетипичном поведении учетных записей пользователей CMA_C1025 . Отчет о нетипичном поведении учетных записей пользователей Вручную, отключено 1.1.0

Применение доступа

Идентификатор: FedRAMP Moderate AC-3 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Для серверов SQL должен быть подготовлен администратор Azure Active Directory Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. AuditIfNotExists, Disabled 1.0.0
Приложения Службы приложений должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Аудит компьютеров Linux с учетными записями без паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. AuditIfNotExists, Disabled 3.1.0
При аутентификации на компьютерах Linux должны использоваться ключи SSH Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Авторизация доступа к функциям безопасности и информации о безопасности CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности Вручную, отключено 1.1.0
Авторизация и управление доступом CMA_0023 — Авторизация и управление доступом Вручную, отключено 1.1.0
Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. Audit, Deny, Disabled 1.1.0
Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 3.1.0
Принудительный логический доступ CMA_0245 — Принудительный логический доступ Вручную, отключено 1.1.0
Принудительное применение обязательных и избирательных политик управления доступом CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом Вручную, отключено 1.1.0
Приложения-функции должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Требование утверждения для создания учетной записи CMA_0431 — Требование утверждения для создания учетной записи Вручную, отключено 1.1.0
Проверка групп пользователей и приложений с доступом к конфиденциальным данным CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным Вручную, отключено 1.1.0
Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric Audit, Deny, Disabled 1.1.0
Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. Audit, Deny, Disabled 1.0.0
Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. Audit, Deny, Disabled 1.0.0

Управление потоком информации

Идентификатор: FedRAMP Moderate AC-4 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Не рекомендуется]: службы Когнитивный поиск Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-deprecated
[Не рекомендуется]: Cognitive Services должен использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-устаревший
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. AuditIfNotExists, Disabled 3.0.0
Службы управления API должны использовать виртуальную сеть Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. Audit, Deny, Disabled 1.0.2
Служба "Конфигурация приложений" должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. Audit, Disabled 2.0.1
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. Audit, Deny, Disabled 3.2.0
Служба "Azure API для FHIR" должна использовать частный канал Служба "Azure API для FHIR" должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Кэш Azure для Redis должен использовать приватный канал Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Службы Когнитивного поиска Azure должны отключить доступ к общедоступной сети При отключении доступа к общедоступной сети повышается уровень безопасность, так как это гарантирует, что служба "Когнитивный поиск Azure" не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. Audit, Deny, Disabled 2.1.0
Фабрика данных Azure должна использовать частную ссылку Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Домены Сетки событий Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Разделы Сетки событий Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Синхронизация файлов Azure должна использовать приватный канал Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. AuditIfNotExists, Disabled 1.0.0
У Azure Key Vault должен быть включен брандмауэр Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. Audit, Deny, Disabled 3.2.1
Для хранилищ ключей Azure должен использоваться приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Рабочие области Машинного обучения Azure должны использовать Приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Пространства имен Служебной шины Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Служба Azure SignalR должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Рабочие области Azure Synapse должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Служба Azure Web PubSub должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet Audit, Deny, Disabled 2.0.0
Реестры контейнеров должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Управление потоком информации CMA_0079 — Управление потоком информации Вручную, отключено 1.1.0
Учетные записи Cosmos DB должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Ресурсы для доступа к диску должны использовать частную ссылку Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Применение механизмов управления потоком зашифрованных данных CMA_0211 — Применение механизмов управления потоком зашифрованных данных Вручную, отключено 1.1.0
Пространства имен концентратора событий должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
На виртуальной машине должна быть отключена IP-переадресация Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. AuditIfNotExists, Disabled 3.0.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Порты управления на виртуальных машинах должны быть закрыты Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. AuditIfNotExists, Disabled 3.0.0
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. Audit, Disabled 1.1.0
Для серверов MariaDB необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Для серверов MySQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Для серверов PostgreSQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Audit, Deny, Disabled 1.1.0
Для северов MariaDB должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для северов MySQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Audit, Deny, Disabled 2.0.1
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. Audit, Deny, Disabled 1.0.1
Учетные записи хранения должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. AuditIfNotExists, Disabled 3.0.0
Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Физическое / логическое разделение потоков информации

Идентификатор: FedRAMP Умеренный AC-4 (21) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление потоком информации CMA_0079 — Управление потоком информации Вручную, отключено 1.1.0
Установка стандартов конфигурации брандмауэра и маршрутизатора CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора Вручную, отключено 1.1.0
Создание сегментации сети для среды данных держателей карт CMA_0273 — Создание сегментации сети для среды данных держателей карт Вручную, отключено 1.1.0
Определение обмена нисходящими данными и управление им CMA_0298 — Определение обмена нисходящими данными и управление им Вручную, отключено 1.1.0

Разделение обязанностей

Идентификатор: FedRAMP Moderate AC-5 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение авторизации доступа для поддержки разделения обязанностей CMA_0116. Определение авторизации доступа для поддержки разделения обязанностей Вручную, отключено 1.1.0
Разделение обязанностей CMA_0204 . Разделение обязанностей в документе Вручную, отключено 1.1.0
Отдельные обязанности отдельных лиц CMA_0492 - Отдельные обязанности отдельных лиц Вручную, отключено 1.1.0
Подписке должно быть назначено более одного владельца Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. AuditIfNotExists, Disabled 3.0.0

Минимальные привилегии

Идентификатор: FedRAMP Moderate AC-6 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Подписке должно быть назначено не более 3 владельцев Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. AuditIfNotExists, Disabled 3.0.0
Аудит использования пользовательских ролей RBAC Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. Audit, Disabled 1.0.1
Проектирование модели управления доступом CMA_0129 — Проектирование модели управления доступом Вручную, отключено 1.1.0
Использование минимальных прав доступа CMA_0212 — Использование минимальных прав доступа Вручную, отключено 1.1.0

Авторизация доступа к функциям безопасности

Идентификатор: FedRAMP Умеренный AC-6 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности Вручную, отключено 1.1.0
Авторизация и управление доступом CMA_0023 — Авторизация и управление доступом Вручную, отключено 1.1.0
Принудительное применение обязательных и избирательных политик управления доступом CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом Вручную, отключено 1.1.0

Привилегированные учетные записи

Идентификатор: FedRAMP Умеренный AC-6 (5) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Ограничение доступа к привилегированным учетным записям CMA_0446 — Ограничение доступа к привилегированным учетным записям Вручную, отключено 1.1.0

Аудит использования привилегированных функций

Идентификатор: FedRAMP Умеренный AC-6 (9) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Аудит привилегированных функций CMA_0019 — Аудит привилегированных функций Вручную, отключено 1.1.0
Анализ полнотекстового журнала привилегированных команд CMA_0056. Проведение полнотекстового анализа команд привилегированных пользователей Вручную, отключено 1.1.0
Мониторинг назначения привилегированной роли CMA_0378 — Мониторинг назначения привилегированной роли Вручную, отключено 1.1.0
Ограничение доступа к привилегированным учетным записям CMA_0446 — Ограничение доступа к привилегированным учетным записям Вручную, отключено 1.1.0
Отзыв привилегированных ролей при необходимости CMA_0483 — Отзыв привилегированных ролей при необходимости Вручную, отключено 1.1.0
Использование Privileged Identity Management CMA_0533 — Использование Privileged Identity Management Вручную, отключено 1.1.0

Неудачные попытки входа

Идентификатор: FedRAMP Умеренное владение AC-7: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Принудительное применение ограничения последовательных неудачных попыток входа CMA_C1044. Принудительное применение ограничения последовательных неудачных попыток входа Вручную, отключено 1.1.0

Контроль одновременных сеансов

Идентификатор: FedRAMP Умеренное владение AC-10: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение и принудительное применение ограничения одновременных сеансов CMA_C1050. Определение и применение ограничения параллельных сеансов Вручную, отключено 1.1.0

Завершение сеанса

Идентификатор: FedRAMP Умеренное владение AC-12: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Автоматическое завершение сеанса пользователя CMA_C1054 — Автоматическое завершение сеанса пользователя Вручную, отключено 1.1.0

Разрешенные действия без идентификации или проверки подлинности

Идентификатор: FedRAMP Умеренное владение AC-14: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение действий, разрешенных без проверки подлинности CMA_0295. Определение действий, разрешенных без проверки подлинности Вручную, отключено 1.1.0

Удаленный доступ

Идентификатор: FedRAMP Moderate AC-17 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Не рекомендуется]: службы Когнитивный поиск Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-deprecated
[Не рекомендуется]: Cognitive Services должен использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-устаревший
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Служба "Конфигурация приложений" должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
В приложениях Службы приложений должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. AuditIfNotExists, Disabled 3.1.0
Авторизация удаленного доступа CMA_0024  — Авторизация удаленного доступа Вручную, отключено 1.1.0
Служба "Azure API для FHIR" должна использовать частный канал Служба "Azure API для FHIR" должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Кэш Azure для Redis должен использовать приватный канал Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Фабрика данных Azure должна использовать частную ссылку Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Домены Сетки событий Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Разделы Сетки событий Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Синхронизация файлов Azure должна использовать приватный канал Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. AuditIfNotExists, Disabled 1.0.0
Для хранилищ ключей Azure должен использоваться приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Рабочие области Машинного обучения Azure должны использовать Приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Пространства имен Служебной шины Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Служба Azure SignalR должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Служба Azure Spring Cloud должна использовать внедрение сети Экземпляры Azure Spring Cloud должны использовать внедрение виртуальной сети в следующих целях: 1. Изоляция Azure Spring Cloud от Интернета. 2. Реализация взаимодействия Azure Spring Cloud с системами в локальных центрах обработки данных или службах Azure в других виртуальных сетях. 3. Предоставление клиентам возможности контролировать входящие и исходящие сетевые подключения для Azure Spring Cloud. Audit, Disabled, Deny 1.2.0
Рабочие области Azure Synapse должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Служба Azure Web PubSub должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Реестры контейнеров должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Учетные записи Cosmos DB должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 3.1.0
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 1.2.0
Ресурсы для доступа к диску должны использовать частную ссылку Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Документирование обучения мобильности CMA_0191 — Документирование обучения мобильности Вручную, отключено 1.1.0
Документирование инструкций по удаленному доступу CMA_0196 — Документирование инструкций по удаленному доступу Вручную, отключено 1.1.0
Пространства имен концентратора событий должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
В приложениях-функциях должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
Реализация элементов управления для защиты альтернативных рабочих сайтов CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов Вручную, отключено 1.1.0
Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. Audit, Disabled 1.1.0
Для серверов MariaDB необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Для серверов MySQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Для серверов PostgreSQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Обучение в области конфиденциальности CMA_0415 — Обучение в области конфиденциальности Вручную, отключено 1.1.0
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Учетные записи хранения должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Автоматизированный мониторинг и управление

Идентификатор: FedRAMP Moderate AC-17 (1) Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Не рекомендуется]: службы Когнитивный поиск Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-deprecated
[Не рекомендуется]: Cognitive Services должен использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-устаревший
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Служба "Конфигурация приложений" должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
В приложениях Службы приложений должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. AuditIfNotExists, Disabled 3.1.0
Служба "Azure API для FHIR" должна использовать частный канал Служба "Azure API для FHIR" должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Кэш Azure для Redis должен использовать приватный канал Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Фабрика данных Azure должна использовать частную ссылку Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Домены Сетки событий Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Разделы Сетки событий Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Синхронизация файлов Azure должна использовать приватный канал Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. AuditIfNotExists, Disabled 1.0.0
Для хранилищ ключей Azure должен использоваться приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Рабочие области Машинного обучения Azure должны использовать Приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Пространства имен Служебной шины Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Служба Azure SignalR должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Служба Azure Spring Cloud должна использовать внедрение сети Экземпляры Azure Spring Cloud должны использовать внедрение виртуальной сети в следующих целях: 1. Изоляция Azure Spring Cloud от Интернета. 2. Реализация взаимодействия Azure Spring Cloud с системами в локальных центрах обработки данных или службах Azure в других виртуальных сетях. 3. Предоставление клиентам возможности контролировать входящие и исходящие сетевые подключения для Azure Spring Cloud. Audit, Disabled, Deny 1.2.0
Рабочие области Azure Synapse должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Служба Azure Web PubSub должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Реестры контейнеров должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Учетные записи Cosmos DB должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 3.1.0
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 1.2.0
Ресурсы для доступа к диску должны использовать частную ссылку Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Пространства имен концентратора событий должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
В приложениях-функциях должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Мониторинг доступа в организации CMA_0376 — Мониторинг доступа в организации Вручную, отключено 1.1.0
Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. Audit, Disabled 1.1.0
Для серверов MariaDB необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Для серверов MySQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Для серверов PostgreSQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Учетные записи хранения должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Защита конфиденциальности и целостности с помощью шифрования

Идентификатор: FedRAMP Умеренный AC-17 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Уведомление пользователей о входе в систему или доступе CMA_0382. Уведомление пользователей о входе в систему или доступе Вручную, отключено 1.1.0
Защита данных при передаче с помощью шифрования CMA_0403 — Защита данных при передаче с помощью шифрования Вручную, отключено 1.1.0

Управляемые точки управления доступом

Идентификатор: FedRAMP Умеренный AC-17 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Маршрутизация трафика через точки доступа к управляемой сети CMA_0484. Маршрутизация трафика через точки доступа к управляемой сети Вручную, отключено 1.1.0

Привилегированные команды и доступ

Идентификатор: FedRAMP Умеренный AC-17 (4) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Авторизация удаленного доступа CMA_0024  — Авторизация удаленного доступа Вручную, отключено 1.1.0
Авторизация удаленного доступа к привилегированным командам CMA_C1064. Авторизация удаленного доступа к привилегированным командам Вручную, отключено 1.1.0
Документирование инструкций по удаленному доступу CMA_0196 — Документирование инструкций по удаленному доступу Вручную, отключено 1.1.0
Реализация элементов управления для защиты альтернативных рабочих сайтов CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов Вручную, отключено 1.1.0
Обучение в области конфиденциальности CMA_0415 — Обучение в области конфиденциальности Вручную, отключено 1.1.0

Отключение и запрет доступа

Идентификатор: FedRAMP Умеренный AC-17 (9) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предоставление возможности отключения или отключения удаленного доступа CMA_C1066. Предоставление возможности отключить или отключить удаленный доступ Вручную, отключено 1.1.0

Беспроводной доступ

Идентификатор: FedRAMP Умеренное владение AC-18: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документирование и реализация рекомендаций по беспроводному доступу CMA_0190 . Документируйте и реализуйте рекомендации по беспроводному доступу Вручную, отключено 1.1.0
Защита беспроводного доступа CMA_0411 — защита беспроводного доступа Вручную, отключено 1.1.0

Проверка подлинности и шифрование

Идентификатор: FedRAMP Умеренный AC-18 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документирование и реализация рекомендаций по беспроводному доступу CMA_0190 . Документируйте и реализуйте рекомендации по беспроводному доступу Вручную, отключено 1.1.0
Идентификация и аутентификация сетевых устройств CMA_0296 — Идентификация и аутентификация сетевых устройств Вручную, отключено 1.1.0
Защита беспроводного доступа CMA_0411 — защита беспроводного доступа Вручную, отключено 1.1.0

контроль доступа для мобильных устройств

Идентификатор: FedRAMP Умеренное владение AC-19: shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение требований к мобильным устройствам CMA_0122. Определение требований к мобильным устройствам Вручную, отключено 1.1.0

Полное шифрование устройства или контейнера

Идентификатор: FedRAMP Умеренный AC-19 (5) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение требований к мобильным устройствам CMA_0122. Определение требований к мобильным устройствам Вручную, отключено 1.1.0
Защита данных при передаче с помощью шифрования CMA_0403 — Защита данных при передаче с помощью шифрования Вручную, отключено 1.1.0

Использование внешних информационных систем

Идентификатор: FedRAMP Умеренное владение AC-20: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Создание условий для доступа к ресурсам CMA_C1076. Создание условий для доступа к ресурсам Вручную, отключено 1.1.0
Создание условий для обработки ресурсов CMA_C1077. Создание условий для обработки ресурсов Вручную, отключено 1.1.0

Ограничения на авторизованное использование

Идентификатор: FedRAMP Умеренный AC-20 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка элементов управления безопасностью для внешних информационных систем CMA_0541. Проверка элементов управления безопасностью для внешних информационных систем Вручную, отключено 1.1.0

Переносные запоминающие устройства

Идентификатор: FedRAMP Умеренный AC-20 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB Вручную, отключено 1.1.0
Управление использованием переносимых устройств хранения CMA_0083 . Управление использованием переносимых устройств хранения Вручную, отключено 1.1.0
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0

Обмен информацией

Идентификатор: FedRAMP Умеренное владение AC-21: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Автоматизация решений по совместному использованию информации CMA_0028. Автоматизация решений по совместному использованию информации Вручную, отключено 1.1.0
Упрощение обмена информацией CMA_0284 — упрощение обмена информацией Вручную, отключено 1.1.0

Общедоступное содержимое

Идентификатор: FedRAMP Умеренное владение AC-22: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Назначение авторизованного персонала для публикации общедоступной информации CMA_C1083 . Назначение авторизованного персонала для публикации общедоступной информации Вручную, отключено 1.1.0
Просмотр содержимого перед публикацией общедоступной информации CMA_C1085 . Просмотр содержимого перед публикацией общедоступной информации Вручную, отключено 1.1.0
Просмотр общедоступного содержимого для неопубликованных сведений CMA_C1086. Просмотр общедоступного содержимого для неопубликованных сведений Вручную, отключено 1.1.0
Обучение персонала по раскрытию неопубликованных сведений CMA_C1084 — обучение персонала по раскрытию неопубликованных сведений Вручную, отключено 1.1.0

Осведомленность и обучение

Политика и процедуры обучения безопасности

Идентификатор: FedRAMP Умеренное владение AT-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документирование действий по обеспечению безопасности и конфиденциальности CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности Вручную, отключено 1.1.0
Обновление политик информационной безопасности CMA_0518. Обновление политик информационной безопасности Вручную, отключено 1.1.0

Обучение для повышения осведомленности по вопросам безопасности

Идентификатор: FedRAMP Умеренное владение AT-2: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предоставление периодической подготовки по обеспечению осведомленности о безопасности CMA_C1091. Предоставление периодической подготовки по повышению осведомленности о безопасности Вручную, отключено 1.1.0
Предоставление обучения безопасности для новых пользователей CMA_0419. Предоставление обучения безопасности для новых пользователей Вручную, отключено 1.1.0
Предоставление обновленной подготовки по повышению осведомленности о безопасности CMA_C1090. Предоставление обновленной подготовки по повышению осведомленности о безопасности Вручную, отключено 1.1.0

Внутренняя угроза

Идентификатор: FedRAMP Умеренный AT-2 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предоставление обучения осведомленности о безопасности для угроз предварительной оценки CMA_0417. Предоставление обучения осведомленности о безопасности для внутренних угроз Вручную, отключено 1.1.0

Обучение мерам безопасности на основе ролей

Идентификатор: FedRAMP Умеренное владение AT-3: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предоставление периодического обучения безопасности на основе ролей CMA_C1095. Предоставление периодического обучения безопасности на основе ролей Вручную, отключено 1.1.0
Предоставление обучения безопасности на основе ролей CMA_C1094. Предоставление обучения безопасности на основе ролей Вручную, отключено 1.1.0
Предоставьте обучение безопасности перед предоставлением доступа CMA_0418. Предоставьте обучение безопасности перед предоставлением доступа Вручную, отключено 1.1.0

Записи учебного курса по мерам безопасности

Идентификатор: FedRAMP Умеренное владение AT-4: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документирование действий по обеспечению безопасности и конфиденциальности CMA_0198 . Действия по обеспечению безопасности документов и конфиденциальности Вручную, отключено 1.1.0
Мониторинг завершения обучения безопасности и конфиденциальности CMA_0379 . Мониторинг завершения обучения безопасности и конфиденциальности Вручную, отключено 1.1.0
Сохранение записей обучения CMA_0456 — сохранение записей обучения Вручную, отключено 1.1.0

Аудит и подотчетность

Политика и процедуры аудита и подотчетности

Идентификатор: FedRAMP Умеренное владение AU-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка политик и процедур аудита и подотчетности CMA_0154 . Разработка политик и процедур аудита и подотчетности Вручную, отключено 1.1.0
Разработка политик и процедур информационной безопасности CMA_0158 . Разработка политик и процедур информационной безопасности Вручную, отключено 1.1.0
Управление политиками и процедурами CMA_0292 . Управление политиками и процедурами Вручную, отключено 1.1.0
Обновление политик информационной безопасности CMA_0518. Обновление политик информационной безопасности Вручную, отключено 1.1.0

События аудита

Идентификатор: FedRAMP Умеренное владение AU-2: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение событий для аудита CMA_0137 — Определение событий для аудита Вручную, отключено 1.1.0

Обзоры и обновления

Идентификатор: FedRAMP Умеренный AU-2 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Просмотр и обновление событий, определенных в AU-02 CMA_C1106. Просмотр и обновление событий, определенных в AU-02 Вручную, отключено 1.1.0

Содержимое записей аудита

Идентификатор: FedRAMP Умеренное владение AU-3: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение событий для аудита CMA_0137 — Определение событий для аудита Вручную, отключено 1.1.0

Дополнительные сведения об аудите

Идентификатор: FedRAMP Умеренный AU-3 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Настройка возможностей аудита Azure CMA_C1108. Настройка возможностей аудита Azure Вручную, отключено 1.1.1

Емкость хранилища записей аудита

Идентификатор: FedRAMP Умеренное владение AU-4: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление действиями по обработке данных аудита и их мониторинг CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг Вручную, отключено 1.1.0

Ответ на сбои обработки аудита

Идентификатор: FedRAMP Умеренное владение AU-5: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление действиями по обработке данных аудита и их мониторинг CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг Вручную, отключено 1.1.0

Аудит, анализ и отчеты

Идентификатор: FedRAMP Moderate AU-6 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. AuditIfNotExists, Disabled 1.0.2-preview
[Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. AuditIfNotExists, Disabled 1.0.2-preview
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для Resource Manager должен быть включен Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Сопоставление записей аудита CMA_0087 — сопоставление записей аудита Вручную, отключено 1.1.0
Создание требований для проверки аудита и создания отчетов CMA_0277. Создание требований для проверки и отчетности аудита Вручную, отключено 1.1.0
Интеграция аудита, анализа и отчетности CMA_0339 . Интеграция проверки аудита, анализа и отчетности Вручную, отключено 1.1.0
Интеграция облачной безопасности приложений с siem CMA_0340. Интеграция облачной безопасности приложений с siem Вручную, отключено 1.1.0
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0
Проверка журналов подготовки учетных записей CMA_0460 — Проверка журналов подготовки учетных записей Вручную, отключено 1.1.0
Еженедельная проверка назначений администраторов CMA_0461. Просмотр назначений администраторов еженедельно Вручную, отключено 1.1.0
Проверка данных аудита CMA_0466 — Проверка данных аудита Вручную, отключено 1.1.0
Обзор отчета об идентификации облака CMA_0468. Обзор отчета об идентификации облака Вручную, отключено 1.1.0
Просмотр событий доступа к управляемым папкам CMA_0471. Просмотр событий доступа к управляемым папкам Вручную, отключено 1.1.0
Просмотр действия файлов и папок CMA_0473 . Просмотр действия файлов и папок Вручную, отключено 1.1.0
Еженедельная проверка изменений группы ролей CMA_0476. Просмотр еженедельных изменений группы ролей Вручную, отключено 1.1.0

Интеграция процессов

Идентификатор: FedRAMP Умеренный AU-6 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Сопоставление записей аудита CMA_0087 — сопоставление записей аудита Вручную, отключено 1.1.0
Создание требований для проверки аудита и создания отчетов CMA_0277. Создание требований для проверки и отчетности аудита Вручную, отключено 1.1.0
Интеграция аудита, анализа и отчетности CMA_0339 . Интеграция проверки аудита, анализа и отчетности Вручную, отключено 1.1.0
Интеграция облачной безопасности приложений с siem CMA_0340. Интеграция облачной безопасности приложений с siem Вручную, отключено 1.1.0
Проверка журналов подготовки учетных записей CMA_0460 — Проверка журналов подготовки учетных записей Вручную, отключено 1.1.0
Еженедельная проверка назначений администраторов CMA_0461. Просмотр назначений администраторов еженедельно Вручную, отключено 1.1.0
Проверка данных аудита CMA_0466 — Проверка данных аудита Вручную, отключено 1.1.0
Обзор отчета об идентификации облака CMA_0468. Обзор отчета об идентификации облака Вручную, отключено 1.1.0
Просмотр событий доступа к управляемым папкам CMA_0471. Просмотр событий доступа к управляемым папкам Вручную, отключено 1.1.0
Просмотр действия файлов и папок CMA_0473 . Просмотр действия файлов и папок Вручную, отключено 1.1.0
Еженедельная проверка изменений группы ролей CMA_0476. Просмотр еженедельных изменений группы ролей Вручную, отключено 1.1.0

Сопоставление репозиториев аудита

Идентификатор: FedRAMP Умеренный AU-6 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Сопоставление записей аудита CMA_0087 — сопоставление записей аудита Вручную, отключено 1.1.0
Интеграция облачной безопасности приложений с siem CMA_0340. Интеграция облачной безопасности приложений с siem Вручную, отключено 1.1.0

Сокращение аудита и создание отчетов

Идентификатор: FedRAMP Умеренное владение AU-7: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Убедитесь, что записи аудита не изменяются CMA_C1125. Убедитесь, что записи аудита не изменяются Вручную, отключено 1.1.0
Предоставление возможностей аудита, анализа и создания отчетов CMA_C1124. Предоставление возможностей аудита, анализа и создания отчетов Вручную, отключено 1.1.0

Автоматическая обработка

Идентификатор: FedRAMP Умеренный AU-7 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предоставление возможности обработки управляемых клиентом записей аудита CMA_C1126. Предоставление возможностей для обработки управляемых клиентом записей аудита Вручную, отключено 1.1.0

Метки времени

Идентификатор: FedRAMP Умеренное владение AU-8: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Использование системных часов для записей аудита CMA_0535. Использование системных часов для записей аудита Вручную, отключено 1.1.0

Синхронизация с доверенным источником времени

Идентификатор: FedRAMP Умеренный AU-8 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Использование системных часов для записей аудита CMA_0535. Использование системных часов для записей аудита Вручную, отключено 1.1.0

Защита сведений аудита

Идентификатор: FedRAMP Умеренное владение AU-9: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Включение двойной или совместной авторизации CMA_0226 — Включение двойной или совместной авторизации Вручную, отключено 1.1.0
Защита данных аудита CMA_0401 — Защита данных аудита Вручную, отключено 1.1.0

Резервная копия аудита на отдельных физических системах и компонентах

Идентификатор: FedRAMP Умеренный AU-9 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Установка политик резервного копирования и процедур CMA_0268. Создание политик резервного копирования и процедур Вручную, отключено 1.1.0

Доступ по подмножествам привилегированных пользователей

Идентификатор: FedRAMP Умеренный AU-9 (4) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Защита данных аудита CMA_0401 — Защита данных аудита Вручную, отключено 1.1.0

Хранение записей аудита

Идентификатор: FedRAMP Moderate AU-11 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Соблюдение заданных периодов хранения CMA_0004 — Соблюдение заданных периодов хранения Вручную, отключено 1.1.0
Сохранение политик и процедур безопасности CMA_0454 — Сохранение политик и процедур безопасности Вручную, отключено 1.1.0
Сохранение данных удаленных пользователей CMA_0455 — Сохранение данных удаленных пользователей Вручную, отключено 1.1.0
Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. AuditIfNotExists, Disabled 3.0.0

Создание записей аудита

Идентификатор: FedRAMP Moderate AU-12 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Предварительная версия]. На виртуальных машинах Azure Arc с Linux должно быть установлено расширение Log Analytics Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых не установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1 (предварительная версия)
[Предварительная версия]. На виртуальных машинах Azure Arc с Windows должно быть установлено расширение Log Analytics Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1 (предварительная версия)
[Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. AuditIfNotExists, Disabled 1.0.2-preview
[Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. AuditIfNotExists, Disabled 1.0.2-preview
В приложениях Службы приложений должны быть включены журналы ресурсов Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 2.0.1
Аудит привилегированных функций CMA_0019 — Аудит привилегированных функций Вручную, отключено 1.1.0
Аудит состояния учетной записи пользователя CMA_0020 — Аудит состояния учетной записи пользователя Вручную, отключено 1.1.0
Необходимо включить аудит на сервере SQL Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. AuditIfNotExists, Disabled 2.0.0
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для Resource Manager должен быть включен Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Определение событий для аудита CMA_0137 — Определение событий для аудита Вручную, отключено 1.1.0
На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0
В Azure Data Lake Storage должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В Azure Stream Analytics должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В учетных записях пакетной службы должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В Data Lake Analytics должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В Центре событий должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В Центре Интернета вещей должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 3.1.0
В Key Vault должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В Logic Apps должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.1.0
В службах "Поиск" должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
В Служебной шине должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0
Проверка данных аудита CMA_0466 — Проверка данных аудита Вручную, отключено 1.1.0
Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Оценка безопасности и авторизация

Политика и процедуры оценки безопасности и авторизации

Идентификатор: FedRAMP Умеренное владение CA-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка политик и процедур оценки безопасности и авторизации CMA_C1143. Проверка политик и процедур оценки безопасности и авторизации Вручную, отключено 1.1.0

Оценки безопасности

Идентификатор: FedRAMP Умеренное владение CA-2: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Оценка элементов управления безопасностью CMA_C1145 . Оценка элементов управления безопасностью Вручную, отключено 1.1.0
Результаты оценки безопасности CMA_C1147. Результаты оценки безопасности Вручную, отключено 1.1.0
Разработка плана оценки безопасности CMA_C1144. Разработка плана оценки безопасности Вручную, отключено 1.1.0
Создание отчета об оценке безопасности CMA_C1146 . Создание отчета об оценке безопасности Вручную, отключено 1.1.0

Независимые оценщики

Идентификатор: FedRAMP Умеренный CA-2 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Использование независимых оценщиков для проведения оценки контроля безопасности CMA_C1148. Использование независимых оценщиков для проведения оценки контроля безопасности Вручную, отключено 1.1.0

Специализированные оценки

Идентификатор: FedRAMP Умеренный CA-2 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Выбор дополнительного тестирования для оценки системы управления безопасностью CMA_C1149. Выбор дополнительного тестирования для оценки системы безопасности Вручную, отключено 1.1.0

Внешние организации

Идентификатор: FedRAMP Умеренный CA-2 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Примите результаты оценки CMA_C1150 . Прием результатов оценки Вручную, отключено 1.1.0

Взаимодействие системы

Идентификатор: FedRAMP Умеренное владение CA-3: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Требовать соглашения о безопасности взаимодействия CMA_C1151 . Требовать соглашения о безопасности взаимодействия Вручную, отключено 1.1.0
Обновление соглашений о безопасности взаимодействия CMA_0519 . Обновление соглашений о безопасности взаимодействия Вручную, отключено 1.1.0

Неклассифицированные подключения к системе национальной безопасности

Идентификатор: FedRAMP Умеренный CA-3 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация защиты границ системы CMA_0328 . Реализация защиты границ системы Вручную, отключено 1.1.0

Ограничения на подключение внешних систем

Идентификатор: FedRAMP Умеренный CA-3 (5) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Использование ограничений на взаимодействие внешней системы CMA_C1155. Использование ограничений на взаимодействие внешней системы Вручную, отключено 1.1.0

План действий и вехи

Идентификатор: FedRAMP Умеренное владение CA-5: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка POA&M CMA_C1156 . Разработка POA&M Вручную, отключено 1.1.0
Обновление элементов POA&M CMA_C1157 — обновление элементов POA&M Вручную, отключено 1.1.0

Авторизация в системе безопасности

Идентификатор: FedRAMP Умеренное владение CA-6: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Назначение официального авторизации (AO) CMA_C1158. Назначение официального разрешения (AO) Вручную, отключено 1.1.0
Убедитесь, что ресурсы авторизованы CMA_C1159. Убедитесь, что ресурсы авторизованы Вручную, отключено 1.1.0
Обновление авторизации безопасности CMA_C1160. Обновление авторизации системы безопасности Вручную, отключено 1.1.0

Непрерывный мониторинг

Идентификатор: FedRAMP Умеренное владение CA-7: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Настройка списка разрешений обнаружения CMA_0068. Настройка списка разрешений по обнаружению Вручную, отключено 1.1.0
Включение датчиков для решения безопасности конечной точки CMA_0514 — Включение датчиков для решения безопасности конечной точки Вручную, отключено 1.1.0
Прохождение независимой проверки безопасности CMA_0515. Прохождение независимой проверки безопасности Вручную, отключено 1.1.0

Независимая оценка

Идентификатор: FedRAMP Умеренный CA-7 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Использование независимых оценщиков для непрерывного мониторинга CMA_C1168. Использование независимых оценщиков для непрерывного мониторинга Вручную, отключено 1.1.0

Независимый агент по проникновению или команда

Идентификатор: FedRAMP Умеренный CA-8 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Использование независимой команды для тестирования на проникновение CMA_C1171 . Использование независимой команды для тестирования на проникновение Вручную, отключено 1.1.0

Внутренние подключения системы

Идентификатор: FedRAMP Умеренное владение CA-9: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка соответствия конфиденциальности и безопасности перед установкой внутренних подключений CMA_0053. Проверка соответствия конфиденциальности и безопасности перед установкой внутренних подключений Вручную, отключено 1.1.0

Управление конфигурацией

Политика и процедуры управления конфигурацией

Идентификатор: FedRAMP Умеренное владение CM-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка и обновление политик и процедур управления конфигурацией CMA_C1175. Проверка и обновление политик и процедур управления конфигурацией Вручную, отключено 1.1.0

Базовая конфигурация

Идентификатор: FedRAMP Умеренное владение CM-2: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Настройка действий для несоответствующих устройств CMA_0062 — Настройка действий для несоответствующих устройств Вручную, отключено 1.1.0
Разработка и настройка базовых конфигураций CMA_0153 — Разработка и настройка базовых конфигураций Вручную, отключено 1.1.0
Принудительное применение параметров конфигурации безопасности CMA_0249 — Принудительное применение параметров конфигурации безопасности Вручную, отключено 1.1.0
Создание совета по контролю за конфигурацией CMA_0254 — Создание совета по контролю за конфигурацией Вручную, отключено 1.1.0
Определение и документирование плана управления конфигурацией CMA_0264 — Определение и документирование плана управления конфигурацией Вручную, отключено 1.1.0
Реализация средства автоматизированного управления конфигурацией CMA_0311 — Реализация средства автоматизированного управления конфигурацией Вручную, отключено 1.1.0

Поддержка автоматизации для точности или валюты

Идентификатор: FedRAMP Умеренный CM-2 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Настройка действий для несоответствующих устройств CMA_0062 — Настройка действий для несоответствующих устройств Вручную, отключено 1.1.0
Разработка и настройка базовых конфигураций CMA_0153 — Разработка и настройка базовых конфигураций Вручную, отключено 1.1.0
Принудительное применение параметров конфигурации безопасности CMA_0249 — Принудительное применение параметров конфигурации безопасности Вручную, отключено 1.1.0
Создание совета по контролю за конфигурацией CMA_0254 — Создание совета по контролю за конфигурацией Вручную, отключено 1.1.0
Определение и документирование плана управления конфигурацией CMA_0264 — Определение и документирование плана управления конфигурацией Вручную, отключено 1.1.0
Реализация средства автоматизированного управления конфигурацией CMA_0311 — Реализация средства автоматизированного управления конфигурацией Вручную, отключено 1.1.0

Хранение предыдущих конфигураций

Идентификатор: FedRAMP Умеренный CM-2 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Сохранение предыдущих версий базовых конфигураций CMA_C1181. Сохранение предыдущих версий базовых конфигураций Вручную, отключено 1.1.0

Настройка систем, компонентов или устройств для областей высокого риска

Идентификатор: FedRAMP Умеренный CM-2 (7) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Обеспечение гарантий безопасности, не необходимых при возвращении лиц CMA_C1183. Обеспечение гарантий безопасности, не необходимых при возвращении лиц Вручную, отключено 1.1.0
Не разрешать информационным системам сопровождаться отдельными лицами CMA_C1182 — не разрешать информационным системам сопровождаться отдельными лицами Вручную, отключено 1.1.0

Управление изменениями конфигурации

Идентификатор: FedRAMP Умеренное владение CM-3: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проведение анализа влияния на безопасность CMA_0057. Проведение анализа влияния на безопасность Вручную, отключено 1.1.0
Разработка и обслуживание стандарта управление уязвимостями CMA_0152 . Разработка и обслуживание стандарта управление уязвимостями Вручную, отключено 1.1.0
Создание стратегии управления рисками CMA_0258. Создание стратегии управления рисками Вручную, отключено 1.1.0
Внедрение и документирование процессов управления изменениями CMA_0265 — Внедрение и документирование процессов управления изменениями Вручную, отключено 1.1.0
Установка требований к управлению конфигурацией для разработчиков CMA_0270. Установка требований к управлению конфигурацией для разработчиков Вручную, отключено 1.1.0
Оценка влияния на конфиденциальность CMA_0387. Выполнение оценки влияния на конфиденциальность Вручную, отключено 1.1.0
Выполнение оценки рисков CMA_0388. Выполнение оценки рисков Вручную, отключено 1.1.0
Выполнение аудита для элемента управления изменениями конфигурации CMA_0390. Выполнение аудита для управления изменениями конфигурации Вручную, отключено 1.1.0

Анализ влияния на безопасность

Идентификатор: FedRAMP Умеренное владение CM-4: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проведение анализа влияния на безопасность CMA_0057. Проведение анализа влияния на безопасность Вручную, отключено 1.1.0
Разработка и обслуживание стандарта управление уязвимостями CMA_0152 . Разработка и обслуживание стандарта управление уязвимостями Вручную, отключено 1.1.0
Создание стратегии управления рисками CMA_0258. Создание стратегии управления рисками Вручную, отключено 1.1.0
Внедрение и документирование процессов управления изменениями CMA_0265 — Внедрение и документирование процессов управления изменениями Вручную, отключено 1.1.0
Установка требований к управлению конфигурацией для разработчиков CMA_0270. Установка требований к управлению конфигурацией для разработчиков Вручную, отключено 1.1.0
Оценка влияния на конфиденциальность CMA_0387. Выполнение оценки влияния на конфиденциальность Вручную, отключено 1.1.0
Выполнение оценки рисков CMA_0388. Выполнение оценки рисков Вручную, отключено 1.1.0
Выполнение аудита для элемента управления изменениями конфигурации CMA_0390. Выполнение аудита для управления изменениями конфигурации Вручную, отключено 1.1.0

Ограничения доступа для изменения

Идентификатор: FedRAMP Умеренное владение CM-5: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Внедрение и документирование процессов управления изменениями CMA_0265 — Внедрение и документирование процессов управления изменениями Вручную, отключено 1.1.0

Автоматическое принудительное применение и аудит правил доступа

Идентификатор: FedRAMP Умеренный CM-5 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Принудительное применение и аудит ограничений доступа CMA_C1203. Принудительное применение и аудит ограничений доступа Вручную, отключено 1.1.0

Подписанные компоненты

Идентификатор: FedRAMP Умеренный CM-5 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Ограничение несанкционированной установки программного обеспечения и встроенного ПО CMA_C1205. Ограничение несанкционированной установки программного обеспечения и встроенного ПО Вручную, отключено 1.1.0

Ограничение рабочих и операционных разрешений

Идентификатор: FedRAMP Умеренный CM-5 (5) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Ограничение привилегий для внесения изменений в рабочую среду CMA_C1206. Ограничение прав на внесение изменений в рабочую среду Вручную, отключено 1.1.0
Проверка и повторное вычисление привилегий CMA_C1207. Проверка и повторное вычисление привилегий Вручную, отключено 1.1.0

Параметры конфигурации

Идентификатор: FedRAMP Moderate CM-6 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Не рекомендуется]: приложения-функции должны иметь значение "Сертификаты клиента (Входящие сертификаты клиента)" Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов. Audit, Disabled 3.1.0-устаревший
Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. AuditIfNotExists, Disabled 1.0.0
В приложениях Службы приложений должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) Надстройка службы "Политика Azure" для службы Kubernetes (AKS) расширяет возможности Gatekeeper версии 3, представляющего собой веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы централизованным и согласованным образом применить правила и меры безопасности для кластеров в требуемом масштабе. Audit, Disabled 1.0.2
Принудительное применение параметров конфигурации безопасности CMA_0249 — Принудительное применение параметров конфигурации безопасности Вручную, отключено 1.1.0
В приложениях-функциях должна быть отключена удаленная отладка Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. AuditIfNotExists, Disabled 2.0.0
В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. AuditIfNotExists, Disabled 2.0.0
Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.3.0
Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла Блокировка общего доступа контейнеров объектов pod к пространству имен идентификатора хост-процесса и пространству имен IPC узла в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.2 и CIS 5.2.3, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.2.0
Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Контейнеры в кластере Kubernetes должны использовать только разрешенные образы Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.3.0
Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.3.0
Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Службы кластера Kubernetes должны прослушивать только разрешенные порты Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.2.0
Кластер Kubernetes не должен разрешать привилегированные контейнеры Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.2.0
Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.2.0
Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. AuditIfNotExists, Disabled 2.2.0
Устранение недостатков информационной системы CMA_0427 — Устранение недостатков информационной системы Вручную, отключено 1.1.0
Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. AuditIfNotExists, Disabled 2.0.0

Автоматизированное централизованное управление, применение и проверка

Идентификатор: FedRAMP Умеренный CM-6 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Принудительное применение параметров конфигурации безопасности CMA_0249 — Принудительное применение параметров конфигурации безопасности Вручную, отключено 1.1.0
Управление соответствием поставщиков облачных служб CMA_0290. Управление соответствием поставщиков облачных служб Вручную, отключено 1.1.0
Просмотр и настройка системных диагностических данных CMA_0544. Просмотр и настройка системных диагностических данных Вручную, отключено 1.1.0

Минимальная функциональность

Идентификатор: FedRAMP Moderate CM-7 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3

Учет компонентов информационной системы

Идентификатор: fedRAMP Умеренное владение CM-8: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Создание инвентаризации данных CMA_0096. Создание инвентаризации данных Вручную, отключено 1.1.0
Обслуживание записей обработки персональных данных CMA_0353 . Сохранение записей об обработке персональных данных Вручную, отключено 1.1.0

Обновления во время установки и удаления

Идентификатор: FedRAMP Умеренный CM-8 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Создание инвентаризации данных CMA_0096. Создание инвентаризации данных Вручную, отключено 1.1.0
Обслуживание записей обработки персональных данных CMA_0353 . Сохранение записей об обработке персональных данных Вручную, отключено 1.1.0

Автоматическое обнаружение несанкционированных компонентов

Идентификатор: FedRAMP Умеренный CM-8 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Включение обнаружения сетевых устройств CMA_0220. Включение обнаружения сетевых устройств Вручную, отключено 1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации Вручную, отключено 1.1.0

План управления конфигурацией

Идентификатор: FedRAMP Умеренное владение CM-9: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Создание защиты плана конфигурации CMA_C1233. Создание защиты плана конфигурации Вручную, отключено 1.1.0
Разработка и настройка базовых конфигураций CMA_0153 — Разработка и настройка базовых конфигураций Вручную, отключено 1.1.0
Разработка плана идентификации элементов конфигурации CMA_C1231. Разработка плана идентификации элементов конфигурации Вручную, отключено 1.1.0
Разработка плана управления конфигурацией CMA_C1232. Разработка плана управления конфигурацией Вручную, отключено 1.1.0
Определение и документирование плана управления конфигурацией CMA_0264 — Определение и документирование плана управления конфигурацией Вручную, отключено 1.1.0
Реализация средства автоматизированного управления конфигурацией CMA_0311 — Реализация средства автоматизированного управления конфигурацией Вручную, отключено 1.1.0

Ограничения на использование программного обеспечения

Идентификатор: FedRAMP Moderate CM-10 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Требование соблюдения прав интеллектуальной собственности CMA_0432. Требование соответствия прав интеллектуальной собственности Вручную, отключено 1.1.0
Отслеживание использования лицензий на программное обеспечение CMA_C1235 . Отслеживание использования лицензий на программное обеспечение Вручную, отключено 1.1.0

Программное обеспечение с открытым исходным кодом

Идентификатор: FedRAMP Умеренный CM-10 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Ограничение использования программного обеспечения открытый код CMA_C1237. Ограничение использования программного обеспечения открытый код Вручную, отключено 1.1.0

Планирование действий на непредвиденные случаи

Политика и процедуры планирования непредвиденных обстоятельств

Идентификатор: FedRAMP Умеренный CP-1 владение: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка и обновление политик и процедур планирования непредвиденных обстоятельств CMA_C1243 . Проверка и обновление политик и процедур планирования непредвиденных обстоятельств Вручную, отключено 1.1.0

План на непредвиденные случаи

Идентификатор: FedRAMP Умеренное владение CP-2: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Обмен данными об изменениях плана на непредвиденные случаи CMA_C1249 . Обмен данными о изменениях плана на непредвиденные случаи Вручную, отключено 1.1.0
Координация планов на непредвиденные случаи с соответствующими планами CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами Вручную, отключено 1.1.0
Разработка и документирование плана непрерывности бизнес-процессов и аварийного восстановления CMA_0146. Разработка и документирование плана непрерывности бизнес-процессов и аварийного восстановления Вручную, отключено 1.1.0
Разработка плана на непредвиденные случаи CMA_C1244 . Разработка плана на непредвиденные случаи Вручную, отключено 1.1.0
Разработка политик и процедур планирования непредвиденных обстоятельств CMA_0156 . Разработка политик и процедур планирования непредвиденных обстоятельств Вручную, отключено 1.1.0
Распространение политик и процедур CMA_0185. Распространение политик и процедур Вручную, отключено 1.1.0
Просмотр плана на непредвиденные случаи CMA_C1247 . Просмотр плана на непредвиденные случаи Вручную, отключено 1.1.0
Обновление плана на непредвиденные случаи CMA_C1248 — обновление плана на непредвиденные случаи Вручную, отключено 1.1.0

Идентификатор: FedRAMP Умеренный CP-2 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Координация планов на непредвиденные случаи с соответствующими планами CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами Вручную, отключено 1.1.0

планирование ресурсов;

Идентификатор: FedRAMP Умеренный CP-2 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Планирование емкости CMA_C1252 . Планирование емкости Вручную, отключено 1.1.0

Возобновление основных задач и функций бизнеса

Идентификатор: FedRAMP Умеренный CP-2 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Планирование возобновления основных бизнес-функций CMA_C1253 . Планирование возобновления основных бизнес-функций Вручную, отключено 1.1.0

Выявление критически важных ресурсов

Идентификатор: FedRAMP Умеренный CP-2 (8) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Выполнение оценки влияния на бизнес и оценку критическости приложений CMA_0386. Выполнение оценки влияния на бизнес и оценку критическости приложений Вручную, отключено 1.1.0

Обучение реагированию на непредвиденные случаи

Идентификатор: FedRAMP Умеренное владение CP-3: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предоставление обучения на непредвиденные случаи CMA_0412. Предоставление обучения на непредвиденные случаи Вручную, отключено 1.1.0

Тестирование плана на непредвиденные случаи

Идентификатор: FedRAMP Умеренное владение CP-4: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Инициирование действий по тестированию планов на непредвиденные случаи CMA_C1263. Инициирование действий по тестированию планов на непредвиденные случаи Вручную, отключено 1.1.0
Просмотр результатов тестирования плана на непредвиденные случаи CMA_C1262 . Просмотр результатов тестирования плана на непредвиденные случаи Вручную, отключено 1.1.0
Тестирование плана непрерывности бизнес-процессов и аварийного восстановления CMA_0509. Тестирование плана непрерывности бизнес-процессов и аварийного восстановления Вручную, отключено 1.1.0

Идентификатор: FedRAMP Умеренный CP-4 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Координация планов на непредвиденные случаи с соответствующими планами CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами Вручную, отключено 1.1.0

Альтернативный сайт хранилища

Идентификатор: FedRAMP Moderate CP-6 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Убедитесь, что альтернативные гарантии сайта хранилища эквивалентны первичному сайту CMA_C1268. Убедитесь, что альтернативные меры защиты сайта хранилища эквивалентны первичному сайту Вручную, отключено 1.1.0
Создание альтернативного сайта хранилища для хранения и получения сведений о резервном копировании CMA_C1267. Создание альтернативного сайта хранилища для хранения и получения сведений о резервном копировании Вручную, отключено 1.1.0
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
Учетные записи хранения должны использовать геоизбыточное хранилище Использование геоизбыточности для создания высокодоступных приложений Audit, Disabled 1.0.0
Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование Эта политика выполняет аудит баз данных SQL Azure, для которых не включено долгосрочное геоизбыточное резервное копирование. AuditIfNotExists, Disabled 2.0.0

Разделение с первичного сайта

Идентификатор: FedRAMP Moderate CP-6 (1) Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Создание отдельных альтернативных и первичных сайтов хранения CMA_C1269. Создание отдельных альтернативных и первичных сайтов хранения Вручную, отключено 1.1.0
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
Учетные записи хранения должны использовать геоизбыточное хранилище Использование геоизбыточности для создания высокодоступных приложений Audit, Disabled 1.0.0
Базы данных SQL Azure должны использовать долгосрочное геоизбыточное резервное копирование Эта политика выполняет аудит баз данных SQL Azure, для которых не включено долгосрочное геоизбыточное резервное копирование. AuditIfNotExists, Disabled 2.0.0

Специальные возможности

Идентификатор: FedRAMP Умеренный CP-6 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Выявление и устранение потенциальных проблем на альтернативном сайте хранилища CMA_C1271. Выявление и устранение потенциальных проблем на альтернативном сайте хранилища Вручную, отключено 1.1.0

Альтернативный сайт обработки

Идентификатор: FedRAMP Moderate CP-7 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Аудит виртуальных машин без аварийного восстановления Аудит виртуальных машин, где не настроено аварийное восстановление. Дополнительные сведения об аварийном восстановлении см. здесь: https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Создание альтернативного сайта обработки CMA_0262. Создание альтернативного сайта обработки Вручную, отключено 1.1.0

Разделение с первичного сайта

Идентификатор: FedRAMP Умеренный CP-7 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Создание альтернативного сайта обработки CMA_0262. Создание альтернативного сайта обработки Вручную, отключено 1.1.0

Специальные возможности

Идентификатор: FedRAMP Умеренный CP-7 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Создание альтернативного сайта обработки CMA_0262. Создание альтернативного сайта обработки Вручную, отключено 1.1.0

Приоритет службы

Идентификатор: FedRAMP Умеренный CP-7 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Создание альтернативного сайта обработки CMA_0262. Создание альтернативного сайта обработки Вручную, отключено 1.1.0
Установка требований для поставщиков услуг Интернета CMA_0278. Создание требований для поставщиков услуг Интернета Вручную, отключено 1.1.0

Приоритет положений службы

Идентификатор: FedRAMP Умеренный CP-8 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Установка требований для поставщиков услуг Интернета CMA_0278. Создание требований для поставщиков услуг Интернета Вручную, отключено 1.1.0

Резервное копирование информационной системы

Идентификатор: FedRAMP Moderate CP-9 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить Azure Backup для Виртуальных машин Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. AuditIfNotExists, Disabled 3.0.0
Создание резервного копирования документации по информационной системе CMA_C1289. Создание резервного копирования документации по информационной системе Вручную, отключено 1.1.0
Установка политик резервного копирования и процедур CMA_0268. Создание политик резервного копирования и процедур Вручную, отключено 1.1.0
База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для MySQL должна использовать геоизбыточное резервное копирование База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. Audit, Disabled 1.0.1
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0
В хранилищах ключей должна быть включена защита от удаления Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. Audit, Deny, Disabled 2.1.0
В хранилищах ключей должно быть включено обратимое удаление Если при удалении хранилища ключей отключено обратимое удаление, все секреты, ключи и сертификаты в этом хранилище ключей удалятся без возможности восстановления. Случайное удаление хранилища ключей может привести к необратимой потере данных. Функция обратимого удаления позволяет восстановить случайно удаленное хранилище ключей с настраиваемым периодом хранения. Audit, Deny, Disabled 3.0.0

Отдельное хранилище для критически важных сведений

Идентификатор: FedRAMP Умеренный CP-9 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Отдельно хранить сведения о резервном копировании CMA_C1293 — отдельно хранить сведения о резервном копировании Вручную, отключено 1.1.0

Восстановление и восстановление информационной системы

Идентификатор: FedRAMP Умеренный CP-10 Владения: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Восстановление и восстановление ресурсов после каких-либо нарушений CMA_C1295 — восстановление и восстановление ресурсов после каких-либо нарушений Вручную, отключено 1.1.1

Восстановление транзакции

Идентификатор: FedRAMP Умеренный CP-10 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация восстановления на основе транзакций CMA_C1296. Реализация восстановления на основе транзакций Вручную, отключено 1.1.0

Идентификация и проверка подлинности

Политика и процедуры идентификации и проверки подлинности

Идентификатор: FedRAMP Умеренное владение IA-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка и обновление политик и процедур идентификации и проверки подлинности CMA_C1299. Проверка и обновление политик и процедур идентификации и проверки подлинности Вручную, отключено 1.1.0

Идентификация и проверка подлинности (пользователи организации)

Идентификатор: FedRAMP Moderate IA-2 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Для серверов SQL должен быть подготовлен администратор Azure Active Directory Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. AuditIfNotExists, Disabled 1.0.0
Приложения Службы приложений должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. Audit, Deny, Disabled 1.1.0
Принудительное обеспечение уникальности пользователей CMA_0250 — Принудительное обеспечение уникальности пользователей Вручную, отключено 1.1.0
Приложения-функции должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric Audit, Deny, Disabled 1.1.0
Поддержка личных учетных данных для проверки, выданных юридическими органами CMA_0507 — Поддержка личных учетных данных для проверки, выданных юридическими органами Вручную, отключено 1.1.0

Сетевой доступ к привилегированным учетным записям

Идентификатор: FedRAMP Moderate IA-2 (1) Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Внедрение механизмов биометрической проверки подлинности CMA_0005 — Внедрение механизмов биометрической проверки подлинности Вручную, отключено 1.1.0

Сетевой доступ к не привилегированным учетным записям

Идентификатор: FedRAMP Moderate IA-2 (2) Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Внедрение механизмов биометрической проверки подлинности CMA_0005 — Внедрение механизмов биометрической проверки подлинности Вручную, отключено 1.1.0

Локальный доступ к привилегированным учетным записям

Идентификатор: FedRAMP Умеренный IA-2 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Внедрение механизмов биометрической проверки подлинности CMA_0005 — Внедрение механизмов биометрической проверки подлинности Вручную, отключено 1.1.0

Проверка подлинности группы

Идентификатор: FedRAMP Умеренный IA-2 (5) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Требовать использование отдельных аутентификаторов CMA_C1305. Требуется использование отдельных аутентификаторов Вручную, отключено 1.1.0

Удаленный доступ — отдельное устройство

Идентификатор: FedRAMP Умеренный IA-2 (11) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Внедрение механизмов биометрической проверки подлинности CMA_0005 — Внедрение механизмов биометрической проверки подлинности Вручную, отключено 1.1.0
Идентификация и аутентификация сетевых устройств CMA_0296 — Идентификация и аутентификация сетевых устройств Вручную, отключено 1.1.0

Принятие учетных данных Piv

Идентификатор: FedRAMP Умеренный IA-2 (12) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Поддержка личных учетных данных для проверки, выданных юридическими органами CMA_0507 — Поддержка личных учетных данных для проверки, выданных юридическими органами Вручную, отключено 1.1.0

Управление идентификаторами

Идентификатор: FedRAMP Moderate IA-4 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для серверов SQL должен быть подготовлен администратор Azure Active Directory Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. AuditIfNotExists, Disabled 1.0.0
Приложения Службы приложений должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Назначение системных идентификаторов CMA_0018. Назначение системных идентификаторов Вручную, отключено 1.1.0
Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. Audit, Deny, Disabled 1.1.0
Приложения-функции должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Запрет повторного использования идентификатора для определенного периода времени CMA_C1314. Запрет повторного использования идентификатора для определенного периода времени Вручную, отключено 1.1.0
Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric Audit, Deny, Disabled 1.1.0

Определение состояния пользователя

Идентификатор: FedRAMP Умеренный IA-4 (4) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение состояния отдельных пользователей CMA_C1316. Определение состояния отдельных пользователей Вручную, отключено 1.1.0

Управление структурой проверки подлинности

Идентификатор: FedRAMP Moderate IA-5 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. AuditIfNotExists, Disabled 3.1.0
Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. AuditIfNotExists, Disabled 2.0.0
При аутентификации на компьютерах Linux должны использоваться ключи SSH Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Сертификаты должны иметь указанный максимальный срок действия Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени, в течение которого сертификат может быть действителен в пределах хранилища ключей. audit, Audit, deny, Deny, disabled, Disabled 2.2.1
Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 3.1.0
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 1.2.0
Установка типов и процессов аутентификатора CMA_0267. Установка типов и процессов аутентификатора Вручную, отключено 1.1.0
Создание процедур для первоначального распространения аутентификатора CMA_0276. Создание процедур для начального распространения аутентификатора Вручную, отключено 1.1.0
Реализация обучения для защиты структур проверки подлинности CMA_0329 — Реализация обучения для защиты структур проверки подлинности Вручную, отключено 1.1.0
Для ключей Key Vault должна быть задана дата окончания срока действия Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. Audit, Deny, Disabled 1.0.2
Для секретов Key Vault должна быть задана дата окончания срока действия Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия. Audit, Deny, Disabled 1.0.2
Управление временем существования и повторное использование средства проверки подлинности CMA_0355. Управление временем существования и повторное использование средства проверки подлинности Вручную, отключено 1.1.0
Управление аутентификаторами CMA_C1321 — управление аутентификаторами Вручную, отключено 1.1.0
Обновление аутентификаторов CMA_0425 . Обновление аутентификаторов Вручную, отключено 1.1.0
Повторная проверка подлинности для измененных групп и учетных записей CMA_0426 — повторное выполнение проверки подлинности для измененных групп и учетных записей Вручную, отключено 1.1.0
Проверка удостоверения перед распространением аутентификаторов CMA_0538. Проверка удостоверения перед распространением аутентификаторов Вручную, отключено 1.1.0

Проверка подлинности на основе паролей

Идентификатор: FedRAMP Moderate IA-5 (1) Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. modify 4.1.0
Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. AuditIfNotExists, Disabled 3.1.0
Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые позволяют повторно использовать пароли после указанного числа уникальных паролей. Значение по умолчанию для уникальных паролей — 24 AuditIfNotExists, Disabled 2.1.0
Аудит компьютеров Windows, не имеющих максимального срока действия пароля, заданного для указанного количества дней Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет максимального возраста пароля, установленного для указанного количества дней. Значение по умолчанию для максимального срока действия пароля — 70 дней AuditIfNotExists, Disabled 2.1.0
Аудит компьютеров Windows, не имеющих минимального возраста пароля, заданного для указанного количества дней Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, у которых нет минимального возраста пароля, установленного на указанное количество дней. Значение по умолчанию для минимального возраста пароля — 1 день AuditIfNotExists, Disabled 2.1.0
Аудит компьютеров Windows без включенного параметра сложности пароля Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры Windows считаются несоответствующими, если на них не установлен параметр сложности пароля. AuditIfNotExists, Disabled 2.0.0
Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые не ограничивают минимальную длину пароля указанным количеством символов. Значение по умолчанию для минимальной длины пароля — 14 символов AuditIfNotExists, Disabled 2.1.0
Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. AuditIfNotExists, Disabled 2.0.0
Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 3.1.0
Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. deployIfNotExists 1.2.0
Документируйте требования к надежности безопасности в контрактах на приобретение CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Установка политики паролей CMA_0256. Установка политики паролей Вручную, отключено 1.1.0
Реализация параметров для запоминающихся проверяющих секретов CMA_0321. Реализация параметров для запоминаемых проверяющих секретов Вручную, отключено 1.1.0
Защита паролей с помощью шифрования CMA_0408 — Защита паролей с помощью шифрования Вручную, отключено 1.1.0

Проверка подлинности на основе Pki

Идентификатор: FedRAMP Умеренный IA-5 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Динамическое связывание аутентификаторов и удостоверений CMA_0035. Динамическое связывание аутентификаторов и удостоверений Вручную, отключено 1.1.0
Установка типов и процессов аутентификатора CMA_0267. Установка типов и процессов аутентификатора Вручную, отключено 1.1.0
Установка параметров для поиска секретных аутентификаторов и проверяющих CMA_0274. Установка параметров для поиска секретных аутентификаторов и проверяющих Вручную, отключено 1.1.0
Создание процедур для первоначального распространения аутентификатора CMA_0276. Создание процедур для начального распространения аутентификатора Вручную, отключено 1.1.0
Сопоставление удостоверений, прошедших проверку подлинности, с отдельными лицами CMA_0372 . Сопоставление прошедших проверку подлинности удостоверений отдельным лицам Вручную, отключено 1.1.0
Ограничение доступа к закрытым ключам CMA_0445 — Ограничение доступа к закрытым ключам Вручную, отключено 1.1.0
Проверка удостоверения перед распространением аутентификаторов CMA_0538. Проверка удостоверения перед распространением аутентификаторов Вручную, отключено 1.1.0

Регистрация на стороне пользователя или доверенного стороннего пользователя

Идентификатор: FedRAMP Умеренный IA-5 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Распространение аутентификаторов CMA_0184 . Распространение аутентификаторов Вручную, отключено 1.1.0

Автоматическая поддержка определения надежности паролей

Идентификатор: FedRAMP Умеренный IA-5 (4) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документируйте требования к надежности безопасности в контрактах на приобретение CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Установка политики паролей CMA_0256. Установка политики паролей Вручную, отключено 1.1.0
Реализация параметров для запоминающихся проверяющих секретов CMA_0321. Реализация параметров для запоминаемых проверяющих секретов Вручную, отключено 1.1.0

Защита аутентификаторов

Идентификатор: FedRAMP Умеренный IA-5 (6) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Обеспечение защиты авторизованных пользователей предоставленных аутентификаторов CMA_C1339. Обеспечение защиты авторизованных пользователей предоставленных аутентификаторов Вручную, отключено 1.1.0

Отсутствие внедренных статических средств проверки подлинности без шифрования

Идентификатор: FedRAMP Умеренный IA-5 (7) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Убедитесь, что нет незашифрованных статических аутентификаторов CMA_C1340. Убедитесь, что нет незашифрованных статических аутентификаторов Вручную, отключено 1.1.0

Проверка подлинности на основе аппаратного токена

Идентификатор: FedRAMP Умеренный IA-5 (11) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Выполнение требований к качеству токена CMA_0487 — Выполнение требований к качеству токена Вручную, отключено 1.1.0

Отзыв о структуре проверки подлинности

Идентификатор: FedRAMP Умеренное владение IA-6: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Неясные сведения о обратной связи во время проверки подлинности CMA_C1344 — неузнаемые сведения о обратной связи во время проверки подлинности Вручную, отключено 1.1.0

Аутентификация криптографического модуля

Идентификатор: FedRAMP Умеренное владение IA-7: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Аутентификация в криптографическом модуле CMA_0021 — Аутентификация в криптографическом модуле Вручную, отключено 1.1.0

Идентификация и проверка подлинности (пользователи, не являющиеся организацией)

Идентификатор: FedRAMP Умеренное владение IA-8: shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение и проверка подлинности пользователей, отличных от организации CMA_C1346. Определение и проверка подлинности пользователей, отличных от организации Вручную, отключено 1.1.0

Принятие учетных данных Piv от других учреждений

Идентификатор: FedRAMP Умеренный IA-8 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Принятие учетных данных PIV CMA_C1347. Принятие учетных данных PIV Вручную, отключено 1.1.0

Принятие сторонних учетных данных

Идентификатор: FedRAMP Умеренный IA-8 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Примите только утвержденные сторонние учетные данные FICAM CMA_C1348. Примите только утвержденные сторонние учетные данные FICAM Вручную, отключено 1.1.0

Использование утвержденных ficam-утвержденных продуктов

Идентификатор: FedRAMP Умеренный IA-8 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Использование утвержденных FICAM ресурсов для принятия сторонних учетных данных CMA_C1349. Использование утвержденных FICAM ресурсов для принятия учетных данных сторонних производителей Вручную, отключено 1.1.0

Использование профилей, выданных Ficam

Идентификатор: FedRAMP Умеренный IA-8 (4) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Соответствие профилям, выданным FICAM CMA_C1350 . Соответствие профилям, выданным FICAM Вручную, отключено 1.1.0

Реакция на инцидент

Политика и процедуры реагирования на инциденты

Идентификатор: FedRAMP Умеренное владение IR-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка и обновление политик и процедур реагирования на инциденты CMA_C1352. Проверка и обновление политик и процедур реагирования на инциденты Вручную, отключено 1.1.0

Обучение реагированию на инциденты

Идентификатор: FedRAMP Умеренное владение IR-2: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предоставление обучения утечки информации CMA_0413. Предоставление обучения утечки информации Вручную, отключено 1.1.0

Тестирование реагирования на инциденты

Идентификатор: FedRAMP Умеренное владение IR-3: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проведение тестирования реагирования на инциденты CMA_0060. Проведение тестирования реагирования на инциденты Вручную, отключено 1.1.0
Установка программы информационной безопасности CMA_0263. Создание программы информационной безопасности Вручную, отключено 1.1.0
Запуск атак имитации CMA_0486. Выполнение атак имитации Вручную, отключено 1.1.0

Идентификатор: FedRAMP Умеренный IR-3 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проведение тестирования реагирования на инциденты CMA_0060. Проведение тестирования реагирования на инциденты Вручную, отключено 1.1.0
Установка программы информационной безопасности CMA_0263. Создание программы информационной безопасности Вручную, отключено 1.1.0
Запуск атак имитации CMA_0486. Выполнение атак имитации Вручную, отключено 1.1.0

Обработка инцидента

Идентификатор: FedRAMP Moderate IR-4 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Оценка событий информационной безопасности CMA_0013. Оценка событий информационной безопасности Вручную, отключено 1.1.0
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для Resource Manager должен быть включен Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Координация планов на непредвиденные случаи с соответствующими планами CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами Вручную, отключено 1.1.0
Разработка плана реагирования на инциденты CMA_0145 — Разработка плана реагирования на инциденты Вручную, отключено 1.1.0
Разработка гарантий безопасности CMA_0161. Разработка гарантий безопасности Вручную, отключено 1.1.0
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 1.2.0
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 2.1.0
Включение защиты сети CMA_0238. Включение защиты сети Вручную, отключено 1.1.0
Искоренение загрязненной информации CMA_0253 . Искоренение загрязненной информации Вручную, отключено 1.1.0
Выполнение действий в ответ на утечки информации CMA_0281. Выполнение действий в ответ на утечки информации Вручную, отключено 1.1.0
Реализация обработки инцидентов CMA_0318. Реализация обработки инцидентов Вручную, отключено 1.1.0
Обслуживание плана реагирования на инциденты CMA_0352 — обслуживание плана реагирования на инциденты Вручную, отключено 1.1.0
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Выполнение анализа тенденций угроз CMA_0389 — Выполнение анализа тенденций угроз Вручную, отключено 1.1.0
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. AuditIfNotExists, Disabled 1.0.1
Просмотр и исследование ограниченных пользователей CMA_0545 . Просмотр и исследование ограниченных пользователей Вручную, отключено 1.1.0

Автоматические процессы обработки инцидентов

Идентификатор: FedRAMP Умеренный IR-4 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка плана реагирования на инциденты CMA_0145 — Разработка плана реагирования на инциденты Вручную, отключено 1.1.0
Включение защиты сети CMA_0238. Включение защиты сети Вручную, отключено 1.1.0
Реализация обработки инцидентов CMA_0318. Реализация обработки инцидентов Вручную, отключено 1.1.0

Мониторинг инцидента

Идентификатор: FedRAMP Moderate IR-5 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для Resource Manager должен быть включен Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 1.2.0
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 2.1.0
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. AuditIfNotExists, Disabled 1.0.1

Автоматическая отчетность

Идентификатор: FedRAMP Умеренный IR-6 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документирование операций по обеспечению безопасности CMA_0202 — Документирование операций по обеспечению безопасности Вручную, отключено 1.1.0

Поддержка реагирования на инциденты

Идентификатор: FedRAMP Умеренное владение IR-7: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документирование операций по обеспечению безопасности CMA_0202 — Документирование операций по обеспечению безопасности Вручную, отключено 1.1.0

Поддержка автоматизации для доступности сведений и поддержки

Идентификатор: FedRAMP Умеренный IR-7 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка плана реагирования на инциденты CMA_0145 — Разработка плана реагирования на инциденты Вручную, отключено 1.1.0
Включение защиты сети CMA_0238. Включение защиты сети Вручную, отключено 1.1.0
Искоренение загрязненной информации CMA_0253 . Искоренение загрязненной информации Вручную, отключено 1.1.0
Выполнение действий в ответ на утечки информации CMA_0281. Выполнение действий в ответ на утечки информации Вручную, отключено 1.1.0
Реализация обработки инцидентов CMA_0318. Реализация обработки инцидентов Вручную, отключено 1.1.0
Выполнение анализа тенденций угроз CMA_0389 — Выполнение анализа тенденций угроз Вручную, отключено 1.1.0
Просмотр и исследование ограниченных пользователей CMA_0545 . Просмотр и исследование ограниченных пользователей Вручную, отключено 1.1.0

Координация с внешними поставщиками

Идентификатор: FedRAMP Умеренный IR-7 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Установление связи между возможностями реагирования на инциденты и внешними поставщиками CMA_C1376. Создание связи между возможностями реагирования на инциденты и внешними поставщиками Вручную, отключено 1.1.0
Определение персонала реагирования на инциденты CMA_0301. Определение персонала реагирования на инциденты Вручную, отключено 1.1.0

План реагирования на инциденты

Идентификатор: FedRAMP Умеренное владение IR-8: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Оценка событий информационной безопасности CMA_0013. Оценка событий информационной безопасности Вручную, отключено 1.1.0
Разработка плана реагирования на инциденты CMA_0145 — Разработка плана реагирования на инциденты Вручную, отключено 1.1.0
Реализация обработки инцидентов CMA_0318. Реализация обработки инцидентов Вручную, отключено 1.1.0
Сохранение записей о нарушении данных CMA_0351. Сохранение записей о нарушении данных Вручную, отключено 1.1.0
Обслуживание плана реагирования на инциденты CMA_0352 — обслуживание плана реагирования на инциденты Вручную, отключено 1.1.0
Защита плана реагирования на инциденты CMA_0405 . Защита плана реагирования на инциденты Вручную, отключено 1.1.0

Утечка данных

Идентификатор: FedRAMP Moderate IR-9 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Оповещение сотрудников об утечке информации CMA_0007 — Оповещение сотрудников об утечке информации Вручную, отключено 1.1.0
Разработка плана реагирования на инциденты CMA_0145 — Разработка плана реагирования на инциденты Вручную, отключено 1.1.0
Искоренение загрязненной информации CMA_0253 . Искоренение загрязненной информации Вручную, отключено 1.1.0
Выполнение действий в ответ на утечки информации CMA_0281. Выполнение действий в ответ на утечки информации Вручную, отключено 1.1.0
Определение загрязненных систем и компонентов CMA_0300 . Определение загрязненных систем и компонентов Вручную, отключено 1.1.0
Определение разливаемой информации CMA_0303. Определение разливаемой информации Вручную, отключено 1.1.0
Изоляция разливов информации CMA_0346 — изоляция разливов информации Вручную, отключено 1.1.0

Ответственный персонал

Идентификатор: FedRAMP Умеренный IR-9 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение персонала реагирования на инциденты CMA_0301. Определение персонала реагирования на инциденты Вручную, отключено 1.1.0

Обучение

Идентификатор: FedRAMP Умеренный IR-9 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предоставление обучения утечки информации CMA_0413. Предоставление обучения утечки информации Вручную, отключено 1.1.0

Операции после разлива

Идентификатор: FedRAMP Умеренный IR-9 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка процедур реагирования на разлив CMA_0162. Разработка процедур реагирования на разлив Вручную, отключено 1.1.0

Воздействие несанкционированного персонала

Идентификатор: FedRAMP Умеренный IR-9 (4) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка гарантий безопасности CMA_0161. Разработка гарантий безопасности Вручную, отключено 1.1.0

Обслуживание

Политика и процедуры обслуживания системы

Идентификатор: FedRAMP Умеренное владение MA-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка и обновление политик и процедур обслуживания системы CMA_C1395. Проверка и обновление политик и процедур обслуживания системы Вручную, отключено 1.1.0

Управляемое обслуживание

Идентификатор: FedRAMP Умеренное владение MA-2: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление действиями по обслуживанию и ремонту CMA_0080 — управление работой по обслуживанию и ремонту Вручную, отключено 1.1.0
Использование механизма очистки мультимедиа CMA_0208 . Использование механизма очистки мультимедиа Вручную, отключено 1.1.0
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0
Управление нелокальным обслуживанием и диагностическими действиями CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями Вручную, отключено 1.1.0

Средства обслуживания

Идентификатор: FedRAMP Умеренное владение MA-3: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление действиями по обслуживанию и ремонту CMA_0080 — управление работой по обслуживанию и ремонту Вручную, отключено 1.1.0
Управление нелокальным обслуживанием и диагностическими действиями CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями Вручную, отключено 1.1.0

Инструменты проверки

Идентификатор: FedRAMP Умеренный MA-3 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление действиями по обслуживанию и ремонту CMA_0080 — управление работой по обслуживанию и ремонту Вручную, отключено 1.1.0
Управление нелокальным обслуживанием и диагностическими действиями CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями Вручную, отключено 1.1.0

Проверка носителя

Идентификатор: FedRAMP Умеренный MA-3 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление действиями по обслуживанию и ремонту CMA_0080 — управление работой по обслуживанию и ремонту Вручную, отключено 1.1.0
Управление нелокальным обслуживанием и диагностическими действиями CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями Вручную, отключено 1.1.0

Предотвращение несанкционированного удаления

Идентификатор: FedRAMP Умеренный MA-3 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление действиями по обслуживанию и ремонту CMA_0080 — управление работой по обслуживанию и ремонту Вручную, отключено 1.1.0
Использование механизма очистки мультимедиа CMA_0208 . Использование механизма очистки мультимедиа Вручную, отключено 1.1.0
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0
Управление нелокальным обслуживанием и диагностическими действиями CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями Вручную, отключено 1.1.0

Нелокальное обслуживание

Идентификатор: FedRAMP Умеренное владение MA-4: shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление нелокальным обслуживанием и диагностическими действиями CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями Вручную, отключено 1.1.0

Нелокальное обслуживание документов

Идентификатор: FedRAMP Умеренный MA-4 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление нелокальным обслуживанием и диагностическими действиями CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями Вручную, отключено 1.1.0

Персонал по обслуживанию

Идентификатор: FedRAMP Умеренное владение MA-5: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Назначение персонала для надзора за несанкционированным обслуживанием CMA_C1422 . Назначение персонала для надзора за несанкционированным обслуживанием Вручную, отключено 1.1.0
Список авторизованных сотрудников удаленного обслуживания CMA_C1420 — список авторизованных сотрудников удаленного обслуживания Вручную, отключено 1.1.0
Управление персоналом по обслуживанию CMA_C1421 — управление персоналом по обслуживанию Вручную, отключено 1.1.0

Пользователи без соответствующего доступа

Идентификатор: FedRAMP Умеренный MA-5 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Использование механизма очистки мультимедиа CMA_0208 . Использование механизма очистки мультимедиа Вручную, отключено 1.1.0
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0

Своевременное обслуживание

Идентификатор: FedRAMP Умеренное владение MA-6: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Обеспечение своевременной поддержки обслуживания CMA_C1425 — своевременное обслуживание Вручную, отключено 1.1.0

Защита данных на носителях

Политика и процедуры защиты мультимедиа

Идентификатор: FedRAMP Умеренное владение MP-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка и обновление политик и процедур защиты мультимедиа CMA_C1427. Проверка и обновление политик и процедур защиты мультимедиа Вручную, отключено 1.1.0

Доступ к носителям

Идентификатор: FedRAMP Умеренное владение MP-2: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0

Маркировка носителей

Идентификатор: FedRAMP Умеренное владение MP-3: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0

Устройство хранения данных

Идентификатор: FedRAMP Умеренное владение MP-4: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Использование механизма очистки мультимедиа CMA_0208 . Использование механизма очистки мультимедиа Вручную, отключено 1.1.0
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0

Передача носителя

Идентификатор: FedRAMP Умеренное владение MP-5: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0
Управление транспортировкой ресурсов CMA_0370 . Управление транспортировкой активов Вручную, отключено 1.1.0

Криптографическая защита

Идентификатор: FedRAMP Умеренный MP-5 (4) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0
Управление транспортировкой ресурсов CMA_0370 . Управление транспортировкой активов Вручную, отключено 1.1.0

Очистка носителя

Идентификатор: FedRAMP Умеренное владение MP-6: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Использование механизма очистки мультимедиа CMA_0208 . Использование механизма очистки мультимедиа Вручную, отключено 1.1.0
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0

Тестирование оборудования

Идентификатор: FedRAMP Умеренный MP-6 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Использование механизма очистки мультимедиа CMA_0208 . Использование механизма очистки мультимедиа Вручную, отключено 1.1.0
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0

Использование носителя

Идентификатор: FedRAMP Умеренное владение MP-7: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB Вручную, отключено 1.1.0
Управление использованием переносимых устройств хранения CMA_0083 . Управление использованием переносимых устройств хранения Вручную, отключено 1.1.0
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0
Ограничение использования мультимедиа CMA_0450. Ограничение использования носителей Вручную, отключено 1.1.0

Запрещение использования без владельца

Идентификатор: FedRAMP Умеренный MP-7 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB Вручную, отключено 1.1.0
Управление использованием переносимых устройств хранения CMA_0083 . Управление использованием переносимых устройств хранения Вручную, отключено 1.1.0
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0
Ограничение использования мультимедиа CMA_0450. Ограничение использования носителей Вручную, отключено 1.1.0

Физическая и защита окружающей среды

Политика и процедуры физической защиты окружающей среды

Идентификатор: FedRAMP Умеренное владение PE-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Обзор и обновление физических и экологических политик и процедур CMA_C1446 — обзор и обновление физических и экологических политик и процедур Вручную, отключено 1.1.0

Разрешение на физический доступ

Идентификатор: FedRAMP Умеренное владение PE-2: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление физическим доступом CMA_0081 — Управление физическим доступом Вручную, отключено 1.1.0

Контроль физического доступа

Идентификатор: FedRAMP Умеренное владение PE-3: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление физическим доступом CMA_0081 — Управление физическим доступом Вручную, отключено 1.1.0
Определение физического процесса управления ключами CMA_0115 — Определение физического процесса управления ключами Вручную, отключено 1.1.0
Создание и обслуживание инвентаризации активов CMA_0266. Создание и обслуживание инвентаризации активов Вручную, отключено 1.1.0
Реализация физической безопасности для офисов, рабочих областей и безопасных областей CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей Вручную, отключено 1.1.0

контроль доступа для среднего носителя передачи

Идентификатор: FedRAMP Умеренное владение PE-4: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление физическим доступом CMA_0081 — Управление физическим доступом Вручную, отключено 1.1.0
Реализация физической безопасности для офисов, рабочих областей и безопасных областей CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей Вручную, отключено 1.1.0

контроль доступа для устройств вывода

Идентификатор: FedRAMP Умеренное владение PE-5: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление физическим доступом CMA_0081 — Управление физическим доступом Вручную, отключено 1.1.0
Реализация физической безопасности для офисов, рабочих областей и безопасных областей CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей Вручную, отключено 1.1.0
Управление вводом, выводом, обработкой и хранением данных CMA_0369 — Управление вводом, выводом, обработкой и хранением данных Вручную, отключено 1.1.0

Оборудование для охранной сигнализации и видеонаблюдения

Идентификатор: FedRAMP Умеренный PE-6 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Установка системы сигнализации CMA_0338. Установка системы сигнализации Вручную, отключено 1.1.0
Управление системой безопасной камеры наблюдения CMA_0354 . Управление безопасной системой камеры наблюдения Вручную, отключено 1.1.0

Записи доступа посетителей

Идентификатор: FedRAMP Умеренное владение PE-8: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление физическим доступом CMA_0081 — Управление физическим доступом Вручную, отключено 1.1.0
Реализация физической безопасности для офисов, рабочих областей и безопасных областей CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей Вручную, отключено 1.1.0

Аварийное освещение

Идентификатор: FedRAMP Умеренное владение PE-12: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Использование автоматического аварийного освещения CMA_0209 . Использование автоматического аварийного освещения Вручную, отключено 1.1.0

Пожарная защита

Идентификатор: FedRAMP Умеренное владение PE-13: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация физической безопасности для офисов, рабочих областей и безопасных областей CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей Вручную, отключено 1.1.0

Устройства и системы подавления

Идентификатор: FedRAMP Умеренный PE-13 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация физической безопасности для офисов, рабочих областей и безопасных областей CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей Вручную, отключено 1.1.0

Автоматическое пожаротушение

Идентификатор: FedRAMP Умеренный PE-13 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация физической безопасности для офисов, рабочих областей и безопасных областей CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей Вручную, отключено 1.1.0

Элементы управления температурой и влажностью

Идентификатор: FedRAMP Умеренное владение PE-14: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация физической безопасности для офисов, рабочих областей и безопасных областей CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей Вручную, отключено 1.1.0

Мониторинг с помощью предупреждений и уведомлений

Идентификатор: FedRAMP Умеренный PE-14 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация физической безопасности для офисов, рабочих областей и безопасных областей CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей Вручную, отключено 1.1.0
Установка системы сигнализации CMA_0338. Установка системы сигнализации Вручную, отключено 1.1.0

Защита от ущерба, причиненного водой

Идентификатор: FedRAMP Умеренное владение PE-15: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация физической безопасности для офисов, рабочих областей и безопасных областей CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей Вручную, отключено 1.1.0

Доставка и удаление

Идентификатор: FedRAMP Умеренное владение PE-16: shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение требований для управления ресурсами CMA_0125. Определение требований к управлению ресурсами Вручную, отключено 1.1.0
Управление транспортировкой ресурсов CMA_0370 . Управление транспортировкой активов Вручную, отключено 1.1.0

Альтернативный веб-сайт

Идентификатор: FedRAMP Умеренное владение PE-17: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация элементов управления для защиты альтернативных рабочих сайтов CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов Вручную, отключено 1.1.0

Планирование

Политика и процедуры планирования безопасности

Идентификатор: FedRAMP Умеренное владение PL-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка и обновление политик планирования и процедур CMA_C1491. Проверка и обновление политик планирования и процедур Вручную, отключено 1.1.0

План безопасности системы

Идентификатор: FedRAMP Умеренное владение PL-2: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка и создание плана безопасности системы CMA_0151 . Разработка и создание плана безопасности системы Вручную, отключено 1.1.0
Разработка политик и процедур информационной безопасности CMA_0158 . Разработка политик и процедур информационной безопасности Вручную, отключено 1.1.0
Разработка служб SSP, удовлетворяющих критериям CMA_C1492 . Разработка SSP, соответствующего критериям Вручную, отключено 1.1.0
Создание программы конфиденциальности CMA_0257 . Создание программы конфиденциальности Вручную, отключено 1.1.0
Установка требований к безопасности для производства подключенных устройств CMA_0279. Создание требований к безопасности для производства подключенных устройств Вручную, отключено 1.1.0
Реализация принципов проектирования безопасности информационных систем CMA_0325 . Реализация принципов проектирования безопасности информационных систем Вручную, отключено 1.1.0

Планирование и координация с другими организационными сущностями

Идентификатор: FedRAMP Умеренный PL-2 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка и создание плана безопасности системы CMA_0151 . Разработка и создание плана безопасности системы Вручную, отключено 1.1.0
Установка требований к безопасности для производства подключенных устройств CMA_0279. Создание требований к безопасности для производства подключенных устройств Вручную, отключено 1.1.0
Реализация принципов проектирования безопасности информационных систем CMA_0325 . Реализация принципов проектирования безопасности информационных систем Вручную, отключено 1.1.0

Правила поведения

Идентификатор: FedRAMP Умеренное владение PL-4: shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка допустимых политик и процедур использования CMA_0143. Разработка допустимых политик и процедур использования Вручную, отключено 1.1.0
Разработка кодекса поведения организации CMA_0159 . Разработка кодекса поведения организации Вручную, отключено 1.1.0
Принятие персоналом документов о требованиях к конфиденциальности CMA_0193 . Принятие персоналом документов о требованиях к конфиденциальности Вручную, отключено 1.1.0
Применение правил поведения и соглашений о доступе CMA_0248 . Применение правил поведения и соглашений о доступе Вручную, отключено 1.1.0
Запрет несправедливой практики CMA_0396 . Запретить несправедливую практику Вручную, отключено 1.1.0
Проверка и подписание измененных правил поведения CMA_0465. Проверка и подписание измененных правил поведения Вручную, отключено 1.1.0
Обновление политик информационной безопасности CMA_0518. Обновление политик информационной безопасности Вручную, отключено 1.1.0
Обновление правил поведения и соглашений о доступе CMA_0521 . Обновление правил поведения и соглашений о доступе Вручную, отключено 1.1.0
Обновление правил поведения и соглашений о доступе каждые 3 года CMA_0522 — обновление правил поведения и соглашений о доступе каждые 3 года Вручную, отключено 1.1.0

Ограничения социальных сетей и социальных сетей

Идентификатор: FedRAMP Умеренный PL-4 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка допустимых политик и процедур использования CMA_0143. Разработка допустимых политик и процедур использования Вручную, отключено 1.1.0

Архитектура информационной безопасности

Идентификатор: FedRAMP Умеренное владение PL-8: shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Разработка концепции операций (CONOPS) CMA_0141 . Разработка концепции операций (CONOPS) Вручную, отключено 1.1.0
Проверка и обновление архитектуры информационной безопасности CMA_C1504. Проверка и обновление архитектуры информационной безопасности Вручную, отключено 1.1.0

Безопасность персонала

Политика и процедуры безопасности персонала

Идентификатор: FedRAMP Умеренное владение PS-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка и обновление политик безопасности персонала и процедур CMA_C1507 . Проверка и обновление политик и процедур безопасности персонала Вручную, отключено 1.1.0

Обозначение должностного риска

Идентификатор: FedRAMP Умеренное владение PS-2: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Назначение назначений назначений рисков CMA_0016. Назначение назначений назначений рисков Вручную, отключено 1.1.0

Проверка данных персонала

Идентификатор: FedRAMP Умеренное владение PS-3: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Очистка персонала с доступом к секретной информации CMA_0054 . Очистка персонала с доступом к секретной информации Вручную, отключено 1.1.0
Реализация проверки персонала CMA_0322 . Реализация скрининга персонала Вручную, отключено 1.1.0
Перепросмотр отдельных лиц с определенной частотой CMA_C1512 — повторно экранировать отдельных лиц с определенной частотой Вручную, отключено 1.1.0

Информация со специальными мерами защиты

Идентификатор: FedRAMP Умеренный PS-3 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Защита специальной информации CMA_0409 — Защита специальной информации Вручную, отключено 1.1.0

Увольнение персонала

Идентификатор: FedRAMP Умеренное владение PS-4: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проведение собеседования на выходе после завершения CMA_0058 — проведение собеседования о выходе после завершения Вручную, отключено 1.1.0
Отключение структур проверки подлинности при удалении CMA_0169 — Отключение структур проверки подлинности при удалении Вручную, отключено 1.1.0
Уведомление о завершении или передаче CMA_0381 — уведомление о завершении или передаче Вручную, отключено 1.1.0
Защита от кражи данных и предотвращение кражи данных от сотрудников CMA_0398 . Защита от кражи данных и предотвращение кражи данных от сотрудников Вручную, отключено 1.1.0
Сохранение данных удаленных пользователей CMA_0455 — Сохранение данных удаленных пользователей Вручную, отключено 1.1.0

Перевод персонала

Идентификатор: FedRAMP Умеренное владение PS-5: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Инициирование действий по передаче или переназначения CMA_0333. Инициирование действий по передаче или переназначения Вручную, отключено 1.1.0
Изменение авторизации доступа при передаче персонала CMA_0374. Изменение авторизации доступа при передаче персонала Вручную, отключено 1.1.0
Уведомление о завершении или передаче CMA_0381 — уведомление о завершении или передаче Вручную, отключено 1.1.0
Повторное вычисление доступа при передаче персонала CMA_0424 — повторное вычисление доступа при передаче персонала Вручную, отключено 1.1.0

Соглашения о доступе

Идентификатор: FedRAMP Умеренное владение PS-6: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документирование соглашений о доступе организации CMA_0192 — документирование соглашений о доступе к организации Вручную, отключено 1.1.0
Применение правил поведения и соглашений о доступе CMA_0248 . Применение правил поведения и соглашений о доступе Вручную, отключено 1.1.0
Убедитесь, что соглашения о доступе подписаны или уволены своевременно CMA_C1528. Убедитесь, что соглашения о доступе подписаны или уволены своевременно Вручную, отключено 1.1.0
Требовать, чтобы пользователи подписали соглашение о доступе CMA_0440. Требовать, чтобы пользователи подписывать соглашение о доступе Вручную, отключено 1.1.0
Обновление соглашений о доступе организации CMA_0520. Обновление соглашений о доступе к организации Вручную, отключено 1.1.0

Безопасность стороннего персонала

Идентификатор: FedRAMP Умеренное владение PS-7: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документируйте требования к безопасности сторонних сотрудников CMA_C1531 . Документируйте требования к безопасности сторонних сотрудников Вручную, отключено 1.1.0
Создание сторонних требований к безопасности персонала CMA_C1529. Создание требований к безопасности сторонних сотрудников Вручную, отключено 1.1.0
Мониторинг соответствия сторонних поставщиков CMA_C1533 . Мониторинг соответствия сторонним поставщикам Вручную, отключено 1.1.0
Требовать уведомления о передаче или прекращении работы стороннего персонала CMA_C1532 . Требовать уведомления о передаче или прекращении передачи или прекращения сторонним персоналом Вручную, отключено 1.1.0
Требовать от сторонних поставщиков соблюдать политики и процедуры безопасности персонала CMA_C1530. Требовать, чтобы сторонние поставщики соответствовали политикам и процедурам безопасности персонала Вручную, отключено 1.1.0

Меры в отношении персонала

Идентификатор: FedRAMP Умеренное владение PS-8: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация формального процесса санкций CMA_0317 . Реализация формального процесса санкций Вручную, отключено 1.1.0
Уведомление персонала о санкциях CMA_0380 — уведомление персонала о санкциях Вручную, отключено 1.1.0

конфиденциальности

Политика и процедуры оценки рисков

Идентификатор: FedRAMP Умеренное владение RA-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка и обновление политик оценки рисков и процедур CMA_C1537 . Проверка и обновление политик и процедур оценки рисков Вручную, отключено 1.1.0

Классификация угроз для безопасности

Идентификатор: FedRAMP Умеренное владение RA-2: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Классификация сведений CMA_0052 — классификация сведений Вручную, отключено 1.1.0
Разработка схем бизнес-классификации CMA_0155 . Разработка схем классификации бизнеса Вручную, отключено 1.1.0
Убедитесь, что классификация безопасности утверждена CMA_C1540. Убедитесь, что классификация безопасности утверждена Вручную, отключено 1.1.0
Просмотр действий меток и аналитики CMA_0474 — Просмотр действий меток и аналитики Вручную, отключено 1.1.0

конфиденциальности

Идентификатор: FedRAMP Умеренное владение RA-3: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Оценка рисков CMA_C1543 . Оценка рисков Вручную, отключено 1.1.0
Проведение оценки рисков и распространение результатов CMA_C1544. Проведение оценки рисков и распространение результатов Вручную, отключено 1.1.0
Проведение оценки рисков и документирование результатов CMA_C1542. Проведение оценки рисков и документирование результатов Вручную, отключено 1.1.0
Выполнение оценки рисков CMA_0388. Выполнение оценки рисков Вручную, отключено 1.1.0

Сканирование уязвимостей

Идентификатор: FedRAMP Moderate RA-5 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить решение для оценки уязвимостей на виртуальных машинах Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. AuditIfNotExists, Disabled 3.0.0
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для Resource Manager должен быть включен Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Проверка на наличие уязвимостей CMA_0393 — Проверка на наличие уязвимостей Вручную, отключено 1.1.0
Устранение недостатков информационной системы CMA_0427 — Устранение недостатков информационной системы Вручную, отключено 1.1.0
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. AuditIfNotExists, Disabled 4.1.0
Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. AuditIfNotExists, Disabled 1.0.0
Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.1.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 1.0.1
На серверах SQL Server должна быть включена оценка уязвимости Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. AuditIfNotExists, Disabled 3.0.0
В рабочих областях Synapse должна быть включена оценка уязвимостей Обнаруживайте, отслеживайте и устраняйте потенциальные уязвимости, настроив регулярную оценку уязвимостей SQL для рабочих областей Synapse. AuditIfNotExists, Disabled 1.0.0

Возможности средства обновления

Идентификатор: FedRAMP Умеренный RA-5 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка на наличие уязвимостей CMA_0393 — Проверка на наличие уязвимостей Вручную, отключено 1.1.0
Устранение недостатков информационной системы CMA_0427 — Устранение недостатков информационной системы Вручную, отключено 1.1.0

Обновление по частоте / до новой проверки / при обнаружении

Идентификатор: FedRAMP Умеренный RA-5 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка на наличие уязвимостей CMA_0393 — Проверка на наличие уязвимостей Вручную, отключено 1.1.0
Устранение недостатков информационной системы CMA_0427 — Устранение недостатков информационной системы Вручную, отключено 1.1.0

Ширина / глубина покрытия

Идентификатор: FedRAMP Умеренный RA-5 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка на наличие уязвимостей CMA_0393 — Проверка на наличие уязвимостей Вручную, отключено 1.1.0
Устранение недостатков информационной системы CMA_0427 — Устранение недостатков информационной системы Вручную, отключено 1.1.0

Привилегированный доступ

Идентификатор: FedRAMP Умеренный RA-5 (5) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация привилегированного доступа для выполнения действий сканирования уязвимостей CMA_C1555. Реализация привилегированного доступа для выполнения действий сканирования уязвимостей Вручную, отключено 1.1.0

Автоматический анализ тенденций

Идентификатор: FedRAMP Умеренный RA-5 (6) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Наблюдение и сообщить о слабых местах безопасности CMA_0384. Наблюдение и отчет о слабых местах безопасности Вручную, отключено 1.1.0
Выполнение анализа тенденций угроз CMA_0389 — Выполнение анализа тенденций угроз Вручную, отключено 1.1.0
Выполнение моделирования угроз CMA_0392. Выполнение моделирования угроз Вручную, отключено 1.1.0
Проверка на наличие уязвимостей CMA_0393 — Проверка на наличие уязвимостей Вручную, отключено 1.1.0
Устранение недостатков информационной системы CMA_0427 — Устранение недостатков информационной системы Вручную, отключено 1.1.0

Проверка исторических журналов аудита

Идентификатор: FedRAMP Умеренный RA-5 (8) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Аудит привилегированных функций CMA_0019 — Аудит привилегированных функций Вручную, отключено 1.1.0
Аудит состояния учетной записи пользователя CMA_0020 — Аудит состояния учетной записи пользователя Вручную, отключено 1.1.0
Сопоставление записей аудита CMA_0087 — сопоставление записей аудита Вручную, отключено 1.1.0
Определение событий для аудита CMA_0137 — Определение событий для аудита Вручную, отключено 1.1.0
Создание требований для проверки аудита и создания отчетов CMA_0277. Создание требований для проверки и отчетности аудита Вручную, отключено 1.1.0
Интеграция аудита, анализа и отчетности CMA_0339 . Интеграция проверки аудита, анализа и отчетности Вручную, отключено 1.1.0
Интеграция облачной безопасности приложений с siem CMA_0340. Интеграция облачной безопасности приложений с siem Вручную, отключено 1.1.0
Проверка журналов подготовки учетных записей CMA_0460 — Проверка журналов подготовки учетных записей Вручную, отключено 1.1.0
Еженедельная проверка назначений администраторов CMA_0461. Просмотр назначений администраторов еженедельно Вручную, отключено 1.1.0
Проверка данных аудита CMA_0466 — Проверка данных аудита Вручную, отключено 1.1.0
Обзор отчета об идентификации облака CMA_0468. Обзор отчета об идентификации облака Вручную, отключено 1.1.0
Просмотр событий доступа к управляемым папкам CMA_0471. Просмотр событий доступа к управляемым папкам Вручную, отключено 1.1.0
Просмотр событий защиты от эксплойтов CMA_0472. Проверка событий защиты от эксплойтов Вручную, отключено 1.1.0
Просмотр действия файлов и папок CMA_0473 . Просмотр действия файлов и папок Вручную, отключено 1.1.0
Еженедельная проверка изменений группы ролей CMA_0476. Просмотр еженедельных изменений группы ролей Вручную, отключено 1.1.0

Приобретение систем и служб

Политика и процедуры приобретения системных служб

Идентификатор: FedRAMP Умеренное владение SA-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка и обновление политик и процедур приобретения систем и служб CMA_C1560. Проверка и обновление политик и процедур приобретения систем и служб Вручную, отключено 1.1.0

Выделение ресурсов

Идентификатор: FedRAMP Умеренное владение SA-2: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Выравнивание бизнес-целей и целей ИТ CMA_0008 . Выравнивание бизнес-целей и целей ИТ Вручную, отключено 1.1.0
Выделение ресурсов при определении требований к информационной системе CMA_C1561. Выделение ресурсов при определении требований к информационной системе Вручную, отключено 1.1.0
Создание дискретного элемента строки в документации по бюджету CMA_C1563. Создание дискретного элемента строки в документации по бюджету Вручную, отключено 1.1.0
Создание программы конфиденциальности CMA_0257 . Создание программы конфиденциальности Вручную, отключено 1.1.0
Управление выделением ресурсов CMA_0293. Управление выделением ресурсов Вручную, отключено 1.1.0
Безопасное обязательство от руководства CMA_0489 — обеспечение приверженности руководства Вручную, отключено 1.1.0

Жизненный цикл разработки системы

Идентификатор: FedRAMP Умеренное владение SA-3: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение ролей и обязанностей информационной безопасности CMA_C1565. Определение ролей и обязанностей информационной безопасности Вручную, отключено 1.1.0
Определение лиц с ролями безопасности и обязанностями CMA_C1566. Определение лиц с ролями безопасности и обязанностями Вручную, отключено 1.1.1
Интеграция процесса управления рисками в SDLC CMA_C1567 . Интеграция процесса управления рисками в SDLC Вручную, отключено 1.1.0

Процесс приобретения

Идентификатор: FedRAMP Умеренное владение SA-4: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение обязательств по контракту поставщика CMA_0140. Определение обязательств по контракту поставщика Вручную, отключено 1.1.0
Критерии принятия контракта на приобретение документов CMA_0187 — условия принятия контракта на приобретение документов Вручную, отключено 1.1.0
Защита персональных данных в контрактах на приобретение CMA_0194 — защита персональных данных в контрактах на приобретение Вручную, отключено 1.1.0
Защита сведений о безопасности в контрактах на приобретение CMA_0195 . Защита информации о безопасности в контрактах на приобретение Вручную, отключено 1.1.0
Требования к документу для использования общих данных в контрактах CMA_0197 . Требования к документу для использования общих данных в контрактах Вручную, отключено 1.1.0
Документирование требований к обеспечению безопасности в контрактах на приобретение CMA_0199 . Требования к обеспечению безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Требования к документации по безопасности документов в контракте на приобретение CMA_0200 . Требования к документации по безопасности документов в контракте на приобретение Вручную, отключено 1.1.0
Документируйте функциональные требования к безопасности в контрактах на приобретение CMA_0201 . Требования к безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте требования к надежности безопасности в контрактах на приобретение CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте среду информационной системы в контрактах на приобретение CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение Вручную, отключено 1.1.0
Документируйте защиту данных заполнителей карт в сторонних контрактах CMA_0207 . Документируйте защиту данных заполнителей карт в сторонних контрактах Вручную, отключено 1.1.0

Функциональные свойства элементов управления безопасностью

Идентификатор: FedRAMP Умеренный SA-4 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Получение функциональных свойств элементов управления безопасностью CMA_C1575. Получение функциональных свойств элементов управления безопасностью Вручную, отключено 1.1.0

Сведения о проектировании и реализации для элементов управления безопасностью

Идентификатор: FedRAMP Умеренный SA-4 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Получение сведений о проектировании и реализации для элементов управления безопасностью CMA_C1576. Получение сведений о проектировании и реализации для элементов управления безопасностью Вручную, отключено 1.1.1

План непрерывного мониторинга

Идентификатор: FedRAMP Умеренный SA-4 (8) Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Получение плана непрерывного мониторинга для элементов управления безопасностью CMA_C1577. Получение плана непрерывного мониторинга для элементов управления безопасностью Вручную, отключено 1.1.0

Функции , порты / протоколы / службы в использовании

Идентификатор: FedRAMP Умеренный SA-4 (9) Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Требовать от разработчика идентификации портов, протоколов и служб SDLC CMA_C1578. Требовать от разработчика идентификации портов, протоколов и служб SDLC Вручную, отключено 1.1.0

Использование утвержденных продуктов Piv

Идентификатор: FedRAMP Умеренный SA-4 (10) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Использование утвержденной технологии FIPS 201 для PIV CMA_C1579 . Использование утвержденной технологии FIPS 201 для PIV Вручную, отключено 1.1.0

Документация по информационной системе

Идентификатор: FedRAMP Умеренное владение SA-5: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документация по распространению информационной системы CMA_C1584 . Распространение документации по информационной системе Вручную, отключено 1.1.0
Документировать определяемые клиентом действия CMA_C1582 — документирование определяемых клиентом действий Вручную, отключено 1.1.0
Получение документации администратора CMA_C1580. Получение документации администратора Вручную, отключено 1.1.0
Получение документации по функциям безопасности пользователей CMA_C1581. Получение документации по функциям безопасности пользователей Вручную, отключено 1.1.0
Документация по защите администраторов и пользователей CMA_C1583 . Защита документации администратора и пользователя Вручную, отключено 1.1.0

Внешние информационные системные службы

Идентификатор: FedRAMP Умеренное владение SA-9: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение и документирование надзора за правительством CMA_C1587. Определение и документирование надзора за правительством Вручную, отключено 1.1.0
Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности CMA_C1586. Требовать, чтобы внешние поставщики услуг соответствовали требованиям безопасности Вручную, отключено 1.1.0
Проверка соответствия поставщиков облачных служб политикам и соглашениям CMA_0469. Проверка соответствия поставщиков облачных служб политикам и соглашениям Вручную, отключено 1.1.0
Прохождение независимой проверки безопасности CMA_0515. Прохождение независимой проверки безопасности Вручную, отключено 1.1.0

Оценки рисков и утверждения организацией

Идентификатор: FedRAMP Умеренный SA-9 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Оценка риска в отношениях сторонних производителей CMA_0014. Оценка риска в отношениях сторонних производителей Вручную, отключено 1.1.0
Получение утверждений для приобретения и аутсорсинга CMA_C1590 . Получение утверждений о приобретении и аутсорсинге Вручную, отключено 1.1.0

Идентификация функций / портов/ протоколов/ служб

Идентификатор: FedRAMP Умеренный SA-9 (2) Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение внешних поставщиков услуг CMA_C1591. Определение внешних поставщиков услуг Вручную, отключено 1.1.0

Согласованные интересы потребителей и поставщиков

Идентификатор: FedRAMP Умеренный SA-9 (4) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Обеспечение постоянного соответствия внешним поставщикам интересов клиентов CMA_C1592. Обеспечение постоянного соответствия внешним поставщикам интересов клиентов Вручную, отключено 1.1.0

Обработка, хранение и расположение службы

Идентификатор: FedRAMP Умеренный SA-9 (5) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Ограничение расположения обработки информации, хранилища и служб CMA_C1593. Ограничение расположения обработки информации, хранения и служб Вручную, отключено 1.1.0

Управление конфигурацией со стороны разработчика

Идентификатор: FedRAMP Умеренное владение SA-10: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Уязвимости в кодировании адресов CMA_0003 . Уязвимости в кодировании адресов Вручную, отключено 1.1.0
Разработка и документирование требований к безопасности приложений CMA_0148. Разработка и документирование требований к безопасности приложений Вручную, отключено 1.1.0
Документируйте среду информационной системы в контрактах на приобретение CMA_0205 . Документируйте среду информационной системы в контрактах на приобретение Вручную, отключено 1.1.0
Создание программы разработки безопасного программного обеспечения CMA_0259. Создание программы разработки безопасного программного обеспечения Вручную, отключено 1.1.0
Проверка на наличие уязвимостей CMA_0393 — Проверка на наличие уязвимостей Вручную, отключено 1.1.0
Устранение недостатков информационной системы CMA_0427 — Устранение недостатков информационной системы Вручную, отключено 1.1.0
Требовать от разработчиков документировать утвержденные изменения и потенциальное влияние CMA_C1597. Требовать от разработчиков документировать утвержденные изменения и потенциальное влияние Вручную, отключено 1.1.0
Требовать от разработчиков реализации только утвержденных изменений CMA_C1596. Требовать от разработчиков реализации только утвержденных изменений Вручную, отключено 1.1.0
Требовать от разработчиков управлять целостностью изменений CMA_C1595. Требовать от разработчиков управления целостностью изменений Вручную, отключено 1.1.0

Проверка целостности программного обеспечения и встроенного ПО

Идентификатор: FedRAMP Умеренный SA-10 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка программного обеспечения, встроенного ПО и целостности данных CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных Вручную, отключено 1.1.0

Тестирование и оценка безопасности разработчика

Идентификатор: FedRAMP Умеренное владение SA-11: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка на наличие уязвимостей CMA_0393 — Проверка на наличие уязвимостей Вручную, отключено 1.1.0
Устранение недостатков информационной системы CMA_0427 — Устранение недостатков информационной системы Вручную, отключено 1.1.0
Требовать от разработчиков получения доказательств выполнения плана оценки безопасности CMA_C1602. Требовать от разработчиков получения доказательств выполнения плана оценки безопасности Вручную, отключено 1.1.0

Защита систем и коммуникаций

Политика и процедуры защиты системы и коммуникаций

Идентификатор: FedRAMP Умеренное владение SC-1: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка и обновление политик и процедур защиты системы и коммуникаций CMA_C1616 — проверка и обновление политик и процедур защиты системы и коммуникаций Вручную, отключено 1.1.0

Секционирование приложений

Идентификатор: FedRAMP Умеренное владение SC-2: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Авторизация удаленного доступа CMA_0024  — Авторизация удаленного доступа Вручную, отключено 1.1.0
Отдельные функции управления пользователями и информационной системой CMA_0493 — отдельные функции управления пользователями и информационной системой Вручную, отключено 1.1.0
Использование выделенных компьютеров для административных задач CMA_0527. Использование выделенных компьютеров для административных задач Вручную, отключено 1.1.0

Защита от отказов в обслуживании

Идентификатор: FedRAMP Moderate SC-5 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Защита от атак DDoS Azure должна быть включена Защита от атак DDoS должна быть включена для всех виртуальных сетей с подсетью, которая является частью шлюза приложений с общедоступным IP-адресом. AuditIfNotExists, Disabled 3.0.1
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 1.0.2
Разработка и документирование плана ответа DDoS CMA_0147. Разработка и документирование плана ответа DDoS Вручную, отключено 1.1.0
На виртуальной машине должна быть отключена IP-переадресация Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. AuditIfNotExists, Disabled 3.0.0
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 2.0.0

Доступность ресурса

Идентификатор: FedRAMP Умеренное владение SC-6: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление выделением ресурсов CMA_0293. Управление выделением ресурсов Вручную, отключено 1.1.0
Управление доступностью и емкостью CMA_0356. Управление доступностью и емкостью Вручную, отключено 1.1.0
Безопасное обязательство от руководства CMA_0489 — обеспечение приверженности руководства Вручную, отключено 1.1.0

Защита границ

Идентификатор: FedRAMP Moderate SC-7 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Не рекомендуется]: службы Когнитивный поиск Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-deprecated
[Не рекомендуется]: Cognitive Services должен использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-устаревший
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. AuditIfNotExists, Disabled 3.0.0
Службы управления API должны использовать виртуальную сеть Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. Audit, Deny, Disabled 1.0.2
Служба "Конфигурация приложений" должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. Audit, Disabled 2.0.1
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. Audit, Deny, Disabled 3.2.0
Служба "Azure API для FHIR" должна использовать частный канал Служба "Azure API для FHIR" должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Кэш Azure для Redis должен использовать приватный канал Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Службы Когнитивного поиска Azure должны отключить доступ к общедоступной сети При отключении доступа к общедоступной сети повышается уровень безопасность, так как это гарантирует, что служба "Когнитивный поиск Azure" не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. Audit, Deny, Disabled 2.1.0
Фабрика данных Azure должна использовать частную ссылку Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Домены Сетки событий Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Разделы Сетки событий Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Синхронизация файлов Azure должна использовать приватный канал Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. AuditIfNotExists, Disabled 1.0.0
У Azure Key Vault должен быть включен брандмауэр Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. Audit, Deny, Disabled 3.2.1
Для хранилищ ключей Azure должен использоваться приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Рабочие области Машинного обучения Azure должны использовать Приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Пространства имен Служебной шины Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Служба Azure SignalR должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Рабочие области Azure Synapse должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 1.0.2
Служба Azure Web PubSub должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet Audit, Deny, Disabled 2.0.0
Реестры контейнеров должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Учетные записи Cosmos DB должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Ресурсы для доступа к диску должны использовать частную ссылку Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Пространства имен концентратора событий должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Реализация защиты границ системы CMA_0328 . Реализация защиты границ системы Вручную, отключено 1.1.0
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
На виртуальной машине должна быть отключена IP-переадресация Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. AuditIfNotExists, Disabled 3.0.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Порты управления на виртуальных машинах должны быть закрыты Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. AuditIfNotExists, Disabled 3.0.0
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. Audit, Disabled 1.1.0
Для серверов MariaDB необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Для серверов MySQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Для серверов PostgreSQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Audit, Deny, Disabled 1.1.0
Для северов MariaDB должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для северов MySQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Audit, Deny, Disabled 2.0.1
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. Audit, Deny, Disabled 1.0.1
Учетные записи хранения должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. AuditIfNotExists, Disabled 3.0.0
Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 2.0.0

Точки доступа

Идентификатор: FedRAMP Moderate SC-7 (3) Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Не рекомендуется]: службы Когнитивный поиск Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.1-deprecated
[Не рекомендуется]: Cognitive Services должен использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.1-устаревший
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. audit, Audit, deny, Deny, disabled, Disabled 3.1.0-preview
Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. AuditIfNotExists, Disabled 3.0.0
Службы управления API должны использовать виртуальную сеть Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. Audit, Deny, Disabled 1.0.2
Служба "Конфигурация приложений" должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. Audit, Disabled 2.0.1
Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. Audit, Deny, Disabled 3.2.0
Служба "Azure API для FHIR" должна использовать частный канал Служба "Azure API для FHIR" должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Кэш Azure для Redis должен использовать приватный канал Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Службы Когнитивного поиска Azure должны отключить доступ к общедоступной сети При отключении доступа к общедоступной сети повышается уровень безопасность, так как это гарантирует, что служба "Когнитивный поиск Azure" не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. Audit, Deny, Disabled 2.1.0
Фабрика данных Azure должна использовать частную ссылку Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Домены Сетки событий Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Разделы Сетки событий Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Синхронизация файлов Azure должна использовать приватный канал Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. AuditIfNotExists, Disabled 1.0.0
У Azure Key Vault должен быть включен брандмауэр Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. Audit, Deny, Disabled 3.2.1
Для хранилищ ключей Azure должен использоваться приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Рабочие области Машинного обучения Azure должны использовать Приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
Пространства имен Служебной шины Azure должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Служба Azure SignalR должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Рабочие области Azure Synapse должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 1.0.2
Служба Azure Web PubSub должна использовать приватный канал Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. Дополнительные сведения о правилах сети реестра контейнеров см. здесь: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink и .https://aka.ms/acr/vnet Audit, Deny, Disabled 2.0.0
Реестры контейнеров должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Учетные записи Cosmos DB должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Ресурсы для доступа к диску должны использовать частную ссылку Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Пространства имен концентратора событий должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
На виртуальной машине должна быть отключена IP-переадресация Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. AuditIfNotExists, Disabled 3.0.0
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0
Порты управления на виртуальных машинах должны быть закрыты Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. AuditIfNotExists, Disabled 3.0.0
Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. Audit, Disabled 1.1.0
Для серверов MariaDB необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Для серверов MySQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Для серверов PostgreSQL необходимо включить частную конечную точку. Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. AuditIfNotExists, Disabled 1.0.2
Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. Audit, Deny, Disabled 1.1.0
Для северов MariaDB должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для северов MySQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. Audit, Deny, Disabled 2.0.0
Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. Audit, Deny, Disabled 2.0.1
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1
Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. Audit, Deny, Disabled 1.0.1
Учетные записи хранения должны использовать приватный канал Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. AuditIfNotExists, Disabled 3.0.0
Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0
Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. Audit, Deny, Disabled 2.0.0

Внешние телекоммуникационные службы

Идентификатор: FedRAMP Умеренный SC-7 (4) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация управляемого интерфейса для каждой внешней службы CMA_C1626. Реализация управляемого интерфейса для каждой внешней службы Вручную, отключено 1.1.0
Реализация защиты границ системы CMA_0328 . Реализация защиты границ системы Вручную, отключено 1.1.0
Защита интерфейса во внешних системах CMA_0491 . Защита интерфейса для внешних систем Вручную, отключено 1.1.0

Предотвращение разделения туннелирования для удаленных устройств

Идентификатор: FedRAMP Умеренный SC-7 (7) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Предотвращение разделения туннелирования для удаленных устройств CMA_C1632. Предотвращение разделения туннелирования для удаленных устройств Вручную, отключено 1.1.0

Маршрутизация трафика на прокси-серверы с проверкой подлинности

Идентификатор: FedRAMP Умеренный SC-7 (8) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Маршрутизация трафика через сеть прокси-сервера с проверкой подлинности CMA_C1633. Маршрутизация трафика через сеть прокси-сервера с проверкой подлинности Вручную, отключено 1.1.0

Защита на основе узлов

Идентификатор: FedRAMP Умеренный SC-7 (12) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация защиты границ системы CMA_0328 . Реализация защиты границ системы Вручную, отключено 1.1.0

Изоляция средств безопасности / механизмов / компонентов поддержки

Идентификатор: FedRAMP Умеренный SC-7 (13) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Изоляция систем SecurID, систем управления инцидентами безопасности CMA_C1636 — изоляция систем SecurID, систем управления инцидентами безопасности Вручную, отключено 1.1.0

Отказоустойчивость

Идентификатор: FedRAMP Умеренный SC-7 (18) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация защиты границ системы CMA_0328 . Реализация защиты границ системы Вручную, отключено 1.1.0
Управление передачей между резервными и активными системными компонентами CMA_0371. Управление передачей между резервными и активными системными компонентами Вручную, отключено 1.1.0

Конфиденциальность и целостность передачи

Идентификатор: FedRAMP Moderate SC-8 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0
Приложения Службы приложений должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 3.0.0
Приложения Службы приложений должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. AuditIfNotExists, Disabled 2.1.0
Кластеры Azure HDInsight должны использовать шифрование при передаче для шифрования обмена данными между узлами кластеров Azure HDInsight Данные могут быть изменены во время передачи между узлами кластеров Azure HDInsight. Включение шифрования при передаче устраняет проблемы несанкционированного использования и незаконного изменения данных во время передачи. Audit, Deny, Disabled 1.0.0
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 5.0.0
Приложения-функции должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 3.0.0
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 2.1.0
Кластеры Kubernetes должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.2.0
Использование только безопасных подключений к Кэшу Azure для Redis Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 1.0.0
Защита данных при передаче с помощью шифрования CMA_0403 — Защита данных при передаче с помощью шифрования Вручную, отключено 1.1.0
Защита паролей с помощью шифрования CMA_0408 — Защита паролей с помощью шифрования Вручную, отключено 1.1.0
Должно выполняться безопасное перемещение в учетные записи хранения Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 2.0.0
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, Disabled 4.1.1

Шифрование или альтернативная физическая защита

Идентификатор: FedRAMP Moderate SC-8 (1) Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0
Приложения Службы приложений должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 3.0.0
Приложения Службы приложений должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. AuditIfNotExists, Disabled 2.1.0
Кластеры Azure HDInsight должны использовать шифрование при передаче для шифрования обмена данными между узлами кластеров Azure HDInsight Данные могут быть изменены во время передачи между узлами кластеров Azure HDInsight. Включение шифрования при передаче устраняет проблемы несанкционированного использования и незаконного изменения данных во время передачи. Audit, Deny, Disabled 1.0.0
Настройка рабочих станций для проверки на наличие цифровых сертификатов CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов Вручную, отключено 1.1.0
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1
Приложения-функции должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 5.0.0
Приложения-функции должны требовать только FTPS Включите принудительное использование FTPS для повышения безопасности. AuditIfNotExists, Disabled 3.0.0
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 2.1.0
Кластеры Kubernetes должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.2.0
Использование только безопасных подключений к Кэшу Azure для Redis Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 1.0.0
Должно выполняться безопасное перемещение в учетные записи хранения Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 2.0.0
Компьютеры Windows должны быть настроены для использования безопасных протоколов связи Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. AuditIfNotExists, Disabled 4.1.1

Отключение сети

Идентификатор: FedRAMP Умеренное владение SC-10: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Повторная авторизация или завершение сеанса пользователя CMA_0421 — повторное выполнение проверки подлинности или завершение сеанса пользователя Вручную, отключено 1.1.0

Создание и управление криптографическими ключами

Идентификатор: FedRAMP Moderate SC-12 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Хранилища Служб восстановления Azure должны использовать управляемые клиентом ключи для шифрования данных резервных копий. Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных резервных копий. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/AB-CmkEncryption. Audit, Deny, Disabled 1.0.0 (предварительная версия)
[Предварительная версия]. Данные Службы подготовки устройств к добавлению в Центр Интернета вещей должны быть зашифрованы ключами под управлением клиента Используйте ключи, управляемые клиентом, для шифрования неактивных данных в Службе подготовки устройств к добавлению в Центр Интернета вещей. Неактивные данные автоматически шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. См. дополнительные сведения о шифровании CMK: https://aka.ms/dps/CMK. Audit, Deny, Disabled 1.0.0 (предварительная версия)
Ресурсы служб искусственного интеллекта Azure должны шифровать неактивных данных с помощью ключа, управляемого клиентом (CMK) Использование ключей, управляемых клиентом, для шифрования неактивных данных обеспечивает больше контроля над жизненным циклом ключей, включая смену и управление. Это особенно важно для организаций с соответствующими требованиями к соответствию. Это не оценивается по умолчанию и должно применяться только при необходимости в соответствии с требованиями к политике соответствия или ограничениям. Если данные не включены, данные будут зашифрованы с помощью ключей, управляемых платформой. Чтобы реализовать это, обновите параметр "Эффект" в политике безопасности для соответствующей области. Audit, Deny, Disabled 2.2.0
Служба "Azure API для FHIR" должна использовать для шифрования неактивных данных ключ, управляемый клиентом Используйте ключи, управляемые клиентом, чтобы управлять шифрованием неактивных данных, хранящихся в службе "Azure API для FHIR", если это предусмотрено нормативными требованиями. Кроме того, ключи, управляемые клиентом,обеспечивают двойное шифрование, добавляя второй уровень шифрования поверх заданного по умолчанию способа (с помощью ключей, управляемых службой). audit, Audit, disabled, Disabled 1.1.0
Учетные записи службы автоматизации Azure должны использовать управляемые клиентом ключи для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в учетных записях службы автоматизации Azure. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/automation-cmk. Audit, Deny, Disabled 1.0.0
Учетная запись пакетной службы Azure должна использовать управляемые клиентом ключи для шифрования данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в учетной записи пакетной службы. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/Batch-CMK. Audit, Deny, Disabled 1.0.1
Группа контейнеров экземпляров контейнеров Azure должна использовать для шифрования ключ, управляемый клиентом Защита контейнеров благодаря увеличению гибкости с помощью ключей, управляемых клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. Audit, Disabled, Deny 1.0.0
Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/cosmosdb-cmk. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
В заданиях Azure Data Box для шифрования пароля разблокировки устройства должен использоваться ключ, управляемый клиентом Для управления шифрованием пароля разблокировки устройства для Azure Data Box следует использовать ключ, управляемый клиентом. Ключи, управляемые клиентом, также позволяют управлять доступом службы Data Box к паролю разблокировки устройства, чтобы подготовить устройство и автоматически копировать данные. Данные на самом устройстве шифруются при хранении с помощью 256-разрядного шифрования AES, а пароль разблокировки устройства шифруется по умолчанию с помощью ключа, управляемого Майкрософт. Audit, Deny, Disabled 1.0.0
Во время шифрования неактивных данных в Azure Data Explorer должен использоваться управляемый клиентом ключ Включение шифрования неактивных данных с помощью управляемого клиентом ключа в кластере Azure Data Explorer обеспечивает дополнительный контроль над ключом, используемым для шифрования неактивных данных. Эта функция часто применяется для клиентов с особыми нормативными требованиями. Для управления ключами требуется Key Vault. Audit, Deny, Disabled 1.0.0
Фабрики данных Azure необходимо шифровать с помощью ключа, управляемого клиентом Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в Фабрике данных Azure. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/adf-cmk. Audit, Deny, Disabled 1.0.1
Кластеры Azure HDInsight должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в кластерах Azure HDInsight. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/hdi.cmk. Audit, Deny, Disabled 1.0.1
Кластеры Azure HDInsight должны использовать шифрование на узле для шифрования неактивных данных Включение шифрования на узле помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. При включении шифрования на узле данные, хранящиеся на узле виртуальной машины, шифруются при хранении и передаются в зашифрованном виде в службу хранилища. Audit, Deny, Disabled 1.0.0
Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.1.0
Кластеры журналов Azure Monitor должны использовать шифрование с ключами, управляемыми клиентом Создайте кластер журналов Azure Monitor с шифрованием с ключами, управляемыми клиентом. По умолчанию данные журналов шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключ, управляемый клиентом, в Azure Monitor предоставляет более полный контроль над доступом к данным (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys). audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Для шифрования данных задания Azure Stream Analytics должны использоваться ключи, управляемые клиентом Чтобы обеспечить безопасное хранение метаданных и частных ресурсов данных для заданий Stream Analytics в учетной записи хранения, используйте ключи, управляемые клиентом. Таким образом, вы сможете полностью контролировать шифрование данных Stream Analytics. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте управляемые клиентом ключи для управления шифрованием неактивных данных, хранящихся в рабочих областях Azure Synapse. Кроме того, ключи, управляемые клиентом, обеспечивают двойное шифрование, добавляя второй уровень шифрования поверх заданного по умолчанию способа (с помощью ключей, управляемых службой). Audit, Deny, Disabled 1.0.0
Служба Bot должна шифроваться с помощью ключа, управляемого клиентом Служба Azure Bot автоматически шифрует ваш ресурс для обеспечения защиты данных и соблюдения требований к безопасности и соответствию в организации. По умолчанию используются ключи шифрования, управляемые корпорацией Майкрософт. Для большей гибкости управления ключами или управления доступом к подписке выберите ключи, управляемые клиентом, которые также называются собственными ключами (BYOK). Подробнее о шифровании в службе Azure Bot: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом Шифрование дисков ОС и данных с помощью ключей, управляемых клиентом, обеспечивает больший контроль и большую гибкость в управлении ключами. Это общее требование для многих нормативных и отраслевых стандартов соответствия. Audit, Deny, Disabled 1.0.1
Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
Определение физического процесса управления ключами CMA_0115 — Определение физического процесса управления ключами Вручную, отключено 1.1.0
Определение использования шифрования CMA_0120 — Определение использования шифрования Вручную, отключено 1.1.0
Определение требований организации к управлению криптографическими ключами CMA_0123 — Определение требований организации к управлению криптографическими ключами Вручную, отключено 1.1.0
Определение требований к утверждению CMA_0136 — Определение требований к утверждению Вручную, отключено 1.1.0
Для шифрования пространства имен концентратора событий должны использовать ключ, управляемый клиентом Служба "Центры событий Azure" поддерживает возможность шифрования неактивных данных с помощью ключей, управляемых корпорацией Майкрософт (по умолчанию), или ключей, управляемых клиентом. Шифрование данных с помощью ключей, управляемых клиентом, позволяет назначать, сменять, отключать ключи, которые концентратор событий будет использовать для шифрования данных в вашем пространстве имен, и отменять к ним доступ. Обратите внимание, что концентратор событий поддерживает шифрование с использованием ключей, управляемых клиентом, только для пространств имен в выделенных кластерах. Audit, Disabled 1.0.0
Учетные записи HPC Cache должны использовать для шифрования ключ, управляемый клиентом Управление шифрованием неактивных данных рабочей HPC Cache с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Audit, Disabled, Deny 2.0.0
Выдача сертификатов открытого ключа CMA_0347 — Выдача сертификатов открытого ключа Вручную, отключено 1.1.0
Среда службы интеграции Logic Apps должна быть зашифрована с помощью ключей, управляемых клиентом Выполните развертывание в среде службы интеграции для управления шифрованием неактивных данных Logic Apps с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Audit, Deny, Disabled 1.0.0
Управление симметричными криптографическими ключами CMA_0367 — Управление симметричными криптографическими ключами Вручную, отключено 1.1.0
Управляемые диски должны использовать двойное шифрование с ключами под управлением платформы и клиента Клиенты с высокими требованиями к безопасности, которых беспокоят риски компрометации тех или иных алгоритмов, реализаций или ключей шифрования, могут использовать дополнительный уровень шифрования с другим режимом или алгоритмом на уровне инфраструктуры с применением ключей, управляемых платформой. Двойное шифрование является обязательным для наборов шифрования дисков. Узнайте больше по адресу https://aka.ms/disks-doubleEncryption. Audit, Deny, Disabled 1.0.0
Серверы MySQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах MySQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. AuditIfNotExists, Disabled 1.0.4
Диски ОС и диски данных должны быть зашифрованы ключом под управлением клиента Использование ключей, управляемых клиентом, для управления шифрованием неактивного управляемых дисков. По умолчанию неактивные данные шифруются с помощью ключей, управляемых платформой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/disks-cmk. Audit, Deny, Disabled 3.0.0
Серверы PostgreSQL должны использовать управляемые клиентом ключи для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах PostgreSQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. AuditIfNotExists, Disabled 1.0.4
Ограничение доступа к закрытым ключам CMA_0445 — Ограничение доступа к закрытым ключам Вручную, отключено 1.1.0
Сохраненные запросы в Azure Monitor должны быть сохранены в учетной записи хранения клиента для шифрования журналов Свяжите учетную запись хранения с рабочей областью Log Analytics, чтобы защитить сохраненные запросы с помощью шифрования учетной записи хранения. Ключи, управляемые клиентом, обычно требуются для соблюдения нормативных требований и усиления контроля за доступом к сохраненным запросам в Azure Monitor. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Для шифрования пространства имен Служебной шины уровня "Премиум" должны использовать ключ, управляемый клиентом Служебная шина Azure поддерживает возможность шифрования неактивных данных с помощью ключей, управляемых корпорацией Майкрософт (по умолчанию), или ключей, управляемых клиентом. Шифрование данных с помощью управляемых клиентом ключей позволяет назначать, сменять, отключать ключи, которые Служебная шина будет использовать для шифрования данных в вашем пространстве имен, и отменять к ним доступ. Учтите, что Служебная шина поддерживает шифрование с использованием ключей, управляемых клиентом, только для пространств имен уровня "Премиум". Audit, Disabled 1.0.0
Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. Audit, Deny, Disabled 2.0.0
Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. Audit, Deny, Disabled 2.0.1
В областях шифрования учетных записей хранения следует использовать ключи, управляемые клиентом, для шифрования неактивных данных Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в областях шифрования учетной записи хранения. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения об областях шифрования учетной записи хранения см. здесь: https://aka.ms/encryption-scopes-overview. Audit, Deny, Disabled 1.0.0
В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. Audit, Disabled 1.0.3

Симметричные ключи

Идентификатор: FedRAMP Умеренный SC-12 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Создание, управление и распространение симметричные криптографические ключи CMA_C1645— создание, управление и распространение симметрических ключей шифрования Вручную, отключено 1.1.0

Асимметричные ключи

Идентификатор: FedRAMP Умеренный SC-12 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Создание, управление и распространение асимметричных ключей шифрования CMA_C1646. Создание, управление и распространение асимметричных ключей шифрования Вручную, отключено 1.1.0

Криптографическая защита

Идентификатор: FedRAMP Умеренное владение SC-13: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Определение использования шифрования CMA_0120 — Определение использования шифрования Вручную, отключено 1.1.0

Совместное работающие вычислительные устройства

Идентификатор: FedRAMP Умеренное владение SC-15: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Явно уведомлять об использовании вычислительных устройств для совместной работы CMA_C1649. Явно уведомлять об использовании устройств для совместной работы с вычислительными устройствами Вручную, отключено 1.1.1
Запрет удаленной активации устройств для совместной работы CMA_C1648. Запрет удаленной активации устройств для совместной работы Вручную, отключено 1.1.0

Сертификаты инфраструктуры открытых ключей

Идентификатор: FedRAMP Умеренное владение SC-17: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Выдача сертификатов открытого ключа CMA_0347 — Выдача сертификатов открытого ключа Вручную, отключено 1.1.0

Мобильный код

Идентификатор: FedRAMP Умеренное владение SC-18: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Авторизация, мониторинг и управление использованием технологий мобильного кода CMA_C1653. Авторизация, мониторинг и управление использованием технологий мобильного кода Вручную, отключено 1.1.0
Определение приемлемых и неприемлемых технологий мобильного кода CMA_C1651. Определение допустимых и неприемлемых технологий мобильного кода Вручную, отключено 1.1.0
Установка ограничений использования для технологий мобильного кода CMA_C1652. Установка ограничений использования для технологий мобильного кода Вручную, отключено 1.1.0

Голосовая связь через протокол IP

Идентификатор: FedRAMP Умеренное владение SC-19: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Авторизация, мониторинг и управление voip CMA_0025 . Авторизация, мониторинг и управление voip Вручную, отключено 1.1.0
Установка ограничений использования voip CMA_0280. Установка ограничений использования voip Вручную, отключено 1.1.0

Безопасная служба разрешения имен и адресов (заслуживающий доверия источник)

Идентификатор: FedRAMP Умеренное владение SC-20: shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация отказоустойчивой службы имени и адреса CMA_0305. Реализация отказоустойчивой службы имени или адреса Вручную, отключено 1.1.0
Предоставление безопасных служб разрешения имен и адресов CMA_0416. Предоставление безопасных служб разрешения имен и адресов Вручную, отключено 1.1.0

Служба разрешения безопасных имен и адресов (рекурсивный или сопоставитель кэширования)

Идентификатор: FedRAMP Умеренное владение SC-21: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация отказоустойчивой службы имени и адреса CMA_0305. Реализация отказоустойчивой службы имени или адреса Вручную, отключено 1.1.0
Проверка программного обеспечения, встроенного ПО и целостности данных CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных Вручную, отключено 1.1.0

Архитектура и подготовка для службы разрешения имен и адресов

Идентификатор: FedRAMP Умеренное владение SC-22: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Реализация отказоустойчивой службы имени и адреса CMA_0305. Реализация отказоустойчивой службы имени или адреса Вручную, отключено 1.1.0

Подлинность сеансов

Идентификатор: FedRAMP Умеренное владение SC-23: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Настройка рабочих станций для проверки на наличие цифровых сертификатов CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов Вручную, отключено 1.1.0
Принудительное применение идентификаторов случайных уникальных сеансов CMA_0247. Принудительное применение случайных уникальных идентификаторов сеанса Вручную, отключено 1.1.0

Защита неактивных данных

Идентификатор: FedRAMP Moderate SC-28 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В Среде службы приложений должно быть включено внутреннее шифрование Присвоив параметру InternalEncryption значение true, вы обеспечите шифрование файла подкачки, дисков рабочих ролей и внутреннего сетевого трафика между внешними интерфейсами и рабочими ролями в Среде службы приложений. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Disabled 1.0.1
Необходимо включить шифрование для переменных учетной записи службы автоматизации Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. Audit, Deny, Disabled 1.1.0
В заданиях Azure Data Box должно быть включено двойное шифрование для неактивных данных на устройстве Включите второй уровень программного шифрования для неактивных данных на устройстве. Устройство уже защищено с помощью 256-разрядного шифрования AES для неактивных данных. Этот параметр добавляет второй уровень шифрования данных. Audit, Deny, Disabled 1.0.0
Кластеры журналов Azure Monitor должны быть созданы с включенным шифрованием инфраструктуры (двойным шифрованием) Чтобы обеспечить безопасное шифрование данных на уровне службы и на уровне инфраструктуры с применением двух разных алгоритмов шифрования и двух разных ключей, используйте выделенный кластер Azure Monitor. Этот параметр включен по умолчанию, если поддерживается в регионе (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview). audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Устройства Azure Stack Edge должны использовать двойное шифрование Для защиты неактивных данных на устройстве убедитесь, что для них используется двойное шифрование, доступ к данным контролируется, а после отключения устройства данные безопасно удаляются с дисков данных. Двойное шифрование — это использование двух уровней шифрования: шифрование BitLocker XTS-AES 256-разрядного шифрования на томах данных и встроенное шифрование жестких дисков. Подробные сведения см. в документации с обзором функций безопасности для конкретного устройства Stack Edge. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
В Azure Data Explorer должно быть включено шифрование дисков Включение шифрования дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Audit, Deny, Disabled 2.0.0
В Azure Data Explorer должно быть включено двойное шифрование Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. Audit, Deny, Disabled 2.0.0
Создание процедуры управления утечкой данных CMA_0255 — Создание процедуры управления утечкой данных Вручную, отключено 1.1.0
Необходимо включить шифрование инфраструктуры для серверов Базы данных Azure для MySQL. Включите шифрование инфраструктуры для серверов Базы данных Azure для MySQL, чтобы гарантировать безопасность данных на более высоком уровне. При включении шифрования инфраструктуры неактивные данные шифруются дважды с помощью управляемых ключей Майкрософт, соответствующих FIPS 140-2. Audit, Deny, Disabled 1.0.0
Необходимо включить шифрование инфраструктуры для серверов Базы данных Azure для PostgreSQL. Включите шифрование инфраструктуры для серверов Базы данных Azure для PostgreSQL, чтобы гарантировать безопасность данных на более высоком уровне. При включении шифрования инфраструктуры неактивные данные шифруются дважды с помощью управляемых ключей Майкрософт, соответствующих FIPS 140-2 Audit, Deny, Disabled 1.0.0
Защита специальной информации CMA_0409 — Защита специальной информации Вручную, отключено 1.1.0
Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. Audit, Deny, Disabled 1.1.0
В учетных записях хранения должно быть включено шифрование инфраструктуры. Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. Audit, Deny, Disabled 1.0.0
Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле Для повышения безопасности неактивные данные, хранящиеся на узле виртуальной машины в Службе Azure Kubernetes, должны быть зашифрованы. Это общее требование для многих нормативных и отраслевых стандартов соответствия. Audit, Deny, Disabled 1.0.1
В базах данных SQL должно применяться прозрачное шифрование данных Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. AuditIfNotExists, Disabled 2.0.0
Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле Использование шифрования в узле для сквозного шифрования данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Узнайте больше по адресу https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0

Криптографическая защита

Идентификатор: FedRAMP Moderate SC-28 (1) Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В Среде службы приложений должно быть включено внутреннее шифрование Присвоив параметру InternalEncryption значение true, вы обеспечите шифрование файла подкачки, дисков рабочих ролей и внутреннего сетевого трафика между внешними интерфейсами и рабочими ролями в Среде службы приложений. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Disabled 1.0.1
Необходимо включить шифрование для переменных учетной записи службы автоматизации Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. Audit, Deny, Disabled 1.1.0
В заданиях Azure Data Box должно быть включено двойное шифрование для неактивных данных на устройстве Включите второй уровень программного шифрования для неактивных данных на устройстве. Устройство уже защищено с помощью 256-разрядного шифрования AES для неактивных данных. Этот параметр добавляет второй уровень шифрования данных. Audit, Deny, Disabled 1.0.0
Кластеры журналов Azure Monitor должны быть созданы с включенным шифрованием инфраструктуры (двойным шифрованием) Чтобы обеспечить безопасное шифрование данных на уровне службы и на уровне инфраструктуры с применением двух разных алгоритмов шифрования и двух разных ключей, используйте выделенный кластер Azure Monitor. Этот параметр включен по умолчанию, если поддерживается в регионе (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview). audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Устройства Azure Stack Edge должны использовать двойное шифрование Для защиты неактивных данных на устройстве убедитесь, что для них используется двойное шифрование, доступ к данным контролируется, а после отключения устройства данные безопасно удаляются с дисков данных. Двойное шифрование — это использование двух уровней шифрования: шифрование BitLocker XTS-AES 256-разрядного шифрования на томах данных и встроенное шифрование жестких дисков. Подробные сведения см. в документации с обзором функций безопасности для конкретного устройства Stack Edge. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
В Azure Data Explorer должно быть включено шифрование дисков Включение шифрования дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Audit, Deny, Disabled 2.0.0
В Azure Data Explorer должно быть включено двойное шифрование Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. Audit, Deny, Disabled 2.0.0
Реализация элементов управления для защиты всех носителей CMA_0314 — Реализация элементов управления для защиты всех носителей Вручную, отключено 1.1.0
Необходимо включить шифрование инфраструктуры для серверов Базы данных Azure для MySQL. Включите шифрование инфраструктуры для серверов Базы данных Azure для MySQL, чтобы гарантировать безопасность данных на более высоком уровне. При включении шифрования инфраструктуры неактивные данные шифруются дважды с помощью управляемых ключей Майкрософт, соответствующих FIPS 140-2. Audit, Deny, Disabled 1.0.0
Необходимо включить шифрование инфраструктуры для серверов Базы данных Azure для PostgreSQL. Включите шифрование инфраструктуры для серверов Базы данных Azure для PostgreSQL, чтобы гарантировать безопасность данных на более высоком уровне. При включении шифрования инфраструктуры неактивные данные шифруются дважды с помощью управляемых ключей Майкрософт, соответствующих FIPS 140-2 Audit, Deny, Disabled 1.0.0
Защита данных при передаче с помощью шифрования CMA_0403 — Защита данных при передаче с помощью шифрования Вручную, отключено 1.1.0
Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. Audit, Deny, Disabled 1.1.0
В учетных записях хранения должно быть включено шифрование инфраструктуры. Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. Audit, Deny, Disabled 1.0.0
Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле Для повышения безопасности неактивные данные, хранящиеся на узле виртуальной машины в Службе Azure Kubernetes, должны быть зашифрованы. Это общее требование для многих нормативных и отраслевых стандартов соответствия. Audit, Deny, Disabled 1.0.1
В базах данных SQL должно применяться прозрачное шифрование данных Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. AuditIfNotExists, Disabled 2.0.0
Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле Использование шифрования в узле для сквозного шифрования данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Узнайте больше по адресу https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0

Изоляция процессов

Идентификатор: FedRAMP Умеренное владение SC-39: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Обслуживание отдельных доменов выполнения для выполнения процессов CMA_C1665. Обслуживание отдельных доменов выполнения для выполнения процессов Вручную, отключено 1.1.0

Целостность системы и информации

Политика и процедуры целостности системы и информации

Идентификатор: FedRAMP Умеренный SI-1 Владения: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка и обновление политик целостности информации и процедур CMA_C1667. Проверка и обновление политик целостности информации и процедур Вручную, отключено 1.1.0

Исправление ошибок

Идентификатор: FedRAMP Moderate SI-2 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить решение для оценки уязвимостей на виртуальных машинах Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. AuditIfNotExists, Disabled 3.0.0
Приложения Службы приложений должны использовать последнюю версию HTTP Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. AuditIfNotExists, Disabled 4.0.0
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для Resource Manager должен быть включен Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Приложения-функции должны использовать последнюю версию HTTP Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. AuditIfNotExists, Disabled 4.0.0
Включение исправления ошибок в управление конфигурацией CMA_C1671. Включение исправления ошибок в управление конфигурацией Вручную, отключено 1.1.0
Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. Audit, Disabled 1.0.2
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Устранение недостатков информационной системы CMA_0427 — Устранение недостатков информационной системы Вручную, отключено 1.1.0
Уязвимости, обнаруженные в базах данных SQL, должны быть устранены Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. AuditIfNotExists, Disabled 4.1.0
Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.1.0

Состояние автоматического исправления недостатков

Идентификатор: FedRAMP Умеренный SI-2 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Автоматизация исправления ошибок CMA_0027. Автоматизация исправления ошибок Вручную, отключено 1.1.0
Устранение недостатков информационной системы CMA_0427 — Устранение недостатков информационной системы Вручную, отключено 1.1.0

Время исправления недостатков / тесты для исправлений действий

Идентификатор: FedRAMP Умеренный SI-2 (3) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Создание эталонных показателей для исправления ошибок CMA_C1675. Создание эталонных показателей для исправления ошибок Вручную, отключено 1.1.0
Измерение времени между идентификацией недостатков и исправлением недостатков CMA_C1674 . Измерение времени между идентификацией недостатков и исправлением дефектов Вручную, отключено 1.1.0

Защита от вредоносного кода

Идентификатор: FedRAMP Moderate SI-3 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Блокировать ненадежные и неподписанные процессы, выполняемые из USB CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB Вручную, отключено 1.1.0
Управление шлюзами CMA_0363 — Управление шлюзами Вручную, отключено 1.1.0
Выполнение анализа тенденций угроз CMA_0389 — Выполнение анализа тенденций угроз Вручную, отключено 1.1.0
Проверка на наличие уязвимостей CMA_0393 — Проверка на наличие уязвимостей Вручную, отключено 1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ Вручную, отключено 1.1.0
Еженедельная проверка состояния защиты от угроз CMA_0479 — Еженедельная проверка состояния защиты от угроз Вручную, отключено 1.1.0
Обновление определений антивирусной программы CMA_0517 — Обновление определений для антивирусного ПО Вручную, отключено 1.1.0
На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). AuditIfNotExists, Disabled 2.0.0

Централизованное управление:

Идентификатор: FedRAMP Moderate SI-3 (1) Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Блокировать ненадежные и неподписанные процессы, выполняемые из USB CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB Вручную, отключено 1.1.0
Управление шлюзами CMA_0363 — Управление шлюзами Вручную, отключено 1.1.0
Выполнение анализа тенденций угроз CMA_0389 — Выполнение анализа тенденций угроз Вручную, отключено 1.1.0
Проверка на наличие уязвимостей CMA_0393 — Проверка на наличие уязвимостей Вручную, отключено 1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ Вручную, отключено 1.1.0
Обновление определений антивирусной программы CMA_0517 — Обновление определений для антивирусного ПО Вручную, отключено 1.1.0
На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). AuditIfNotExists, Disabled 2.0.0

Автоматическое обновление

Идентификатор: FedRAMP Умеренный SI-3 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB Вручную, отключено 1.1.0
Управление шлюзами CMA_0363 — Управление шлюзами Вручную, отключено 1.1.0
Выполнение анализа тенденций угроз CMA_0389 — Выполнение анализа тенденций угроз Вручную, отключено 1.1.0
Проверка на наличие уязвимостей CMA_0393 — Проверка на наличие уязвимостей Вручную, отключено 1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ Вручную, отключено 1.1.0
Обновление определений антивирусной программы CMA_0517 — Обновление определений для антивирусного ПО Вручную, отключено 1.1.0

Обнаружение на основе знака

Идентификатор: FedRAMP Умеренный SI-3 (7) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB Вручную, отключено 1.1.0
Управление шлюзами CMA_0363 — Управление шлюзами Вручную, отключено 1.1.0
Выполнение анализа тенденций угроз CMA_0389 — Выполнение анализа тенденций угроз Вручную, отключено 1.1.0
Проверка на наличие уязвимостей CMA_0393 — Проверка на наличие уязвимостей Вручную, отключено 1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ Вручную, отключено 1.1.0
Обновление определений антивирусной программы CMA_0517 — Обновление определений для антивирусного ПО Вручную, отключено 1.1.0

Мониторинг информационной системы

Идентификатор: FedRAMP Moderate SI-4 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. AuditIfNotExists, Disabled 3.0.0 (предварительная версия)
[Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Предварительная версия]. На виртуальных машинах Azure Arc с Linux должно быть установлено расширение Log Analytics Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых не установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1 (предварительная версия)
[Предварительная версия]. На виртуальных машинах Azure Arc с Windows должно быть установлено расширение Log Analytics Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых установлено расширение Log Analytics. AuditIfNotExists, Disabled 1.0.1 (предварительная версия)
[Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. AuditIfNotExists, Disabled 1.0.2-preview
[Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. AuditIfNotExists, Disabled 1.0.2-preview
Azure Defender для Службы приложений должен быть включен Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для Key Vault должен быть включен Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. AuditIfNotExists, Disabled 1.0.3
Azure Defender для Resource Manager должен быть включен Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Azure Defender для серверов SQL на компьютерах должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2
На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Microsoft Defender для службы хранилища Microsoft Defender для хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. AuditIfNotExists, Disabled 1.0.0
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0
Получение юридического мнения для мониторинга системных действий CMA_C1688 . Получение юридического мнения для мониторинга системных действий Вручную, отключено 1.1.0
Выполнение анализа тенденций угроз CMA_0389 — Выполнение анализа тенденций угроз Вручную, отключено 1.1.0
Укажите сведения о мониторинге по мере необходимости CMA_C1689. Предоставление сведений о мониторинге по мере необходимости Вручную, отключено 1.1.0
Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Автоматизированные средства для анализа в режиме реального времени

Идентификатор: FedRAMP Умеренный SI-4 (2) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документирование операций по обеспечению безопасности CMA_0202 — Документирование операций по обеспечению безопасности Вручную, отключено 1.1.0
Включение датчиков для решения безопасности конечной точки CMA_0514 — Включение датчиков для решения безопасности конечной точки Вручную, отключено 1.1.0

Входящий и исходящий трафик связи

Идентификатор: FedRAMP Умеренный SI-4 (4) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Авторизация, мониторинг и управление voip CMA_0025 . Авторизация, мониторинг и управление voip Вручную, отключено 1.1.0
Реализация защиты границ системы CMA_0328 . Реализация защиты границ системы Вручную, отключено 1.1.0
Управление шлюзами CMA_0363 — Управление шлюзами Вручную, отключено 1.1.0
Маршрутизация трафика через точки доступа к управляемой сети CMA_0484. Маршрутизация трафика через точки доступа к управляемой сети Вручную, отключено 1.1.0

Системные оповещения

Идентификатор: FedRAMP Умеренный SI-4 (5) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Оповещение сотрудников об утечке информации CMA_0007 — Оповещение сотрудников об утечке информации Вручную, отключено 1.1.0
Разработка плана реагирования на инциденты CMA_0145 — Разработка плана реагирования на инциденты Вручную, отключено 1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации Вручную, отключено 1.1.0

Обнаружение вторжения по беспроводной сети

Идентификатор: FedRAMP Умеренный SI-4 (14) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Документирование элементов управления безопасностью беспроводного доступа CMA_C1695 — документирование элементов управления безопасностью беспроводного доступа Вручную, отключено 1.1.0

Оповещения системы безопасности, помощники и директивы

Идентификатор: FedRAMP Умеренный SI-5 владения: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Распространение оповещений системы безопасности персоналу CMA_C1705 . Распространение оповещений системы безопасности персоналу Вручную, отключено 1.1.0
Создание программы аналитики угроз CMA_0260. Создание программы аналитики угроз Вручную, отключено 1.1.0
Создание внутренних оповещений системы безопасности CMA_C1704. Создание внутренних оповещений системы безопасности Вручную, отключено 1.1.0
Реализация директив безопасности CMA_C1706. Реализация директив безопасности Вручную, отключено 1.1.0

Проверка функций безопасности

Идентификатор: FedRAMP Умеренное владение SI-6: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Создание альтернативных действий для определенных аномалий CMA_C1711. Создание альтернативных действий для определенных аномалий Вручную, отключено 1.1.0
Уведомление персонала о любых неудачных тестах проверки безопасности CMA_C1710. Уведомление персонала о любых неудачных тестах проверки безопасности Вручную, отключено 1.1.0
Выполнение проверки функции безопасности с определенной частотой CMA_C1709. Выполнение проверки функции безопасности с определенной частотой Вручную, отключено 1.1.0
Проверка функций безопасности CMA_C1708 — Проверка функций безопасности Вручную, отключено 1.1.0

Программное обеспечение, встроенное ПО и целостность информации

Идентификатор: FedRAMP Умеренное владение SI-7: общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка программного обеспечения, встроенного ПО и целостности данных CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных Вручную, отключено 1.1.0

Проверки целостности

Идентификатор: FedRAMP Умеренный SI-7 (1) Владение: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Проверка программного обеспечения, встроенного ПО и целостности данных CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных Вручную, отключено 1.1.0
Просмотр и настройка системных диагностических данных CMA_0544. Просмотр и настройка системных диагностических данных Вручную, отключено 1.1.0

Проверка ввода данных

Идентификатор: FedRAMP Умеренный SI-10: Общая собственность

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Выполнение проверки входных данных CMA_C1723. Выполнение проверки входных данных Вручную, отключено 1.1.0

Обработка ошибок

Идентификатор: FedRAMP Умеренный SI-11: общее владение

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Создание сообщений об ошибках CMA_C1724. Создание сообщений об ошибках Вручную, отключено 1.1.0
Отображение сообщений об ошибках CMA_C1725 — отображение сообщений об ошибках Вручную, отключено 1.1.0

Обработка и хранение сведений

Идентификатор: FedRAMP Умеренный SI-12: общее владение

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управление физическим доступом CMA_0081 — Управление физическим доступом Вручную, отключено 1.1.0
Управление вводом, выводом, обработкой и хранением данных CMA_0369 — Управление вводом, выводом, обработкой и хранением данных Вручную, отключено 1.1.0
Просмотр действий меток и аналитики CMA_0474 — Просмотр действий меток и аналитики Вручную, отключено 1.1.0

Защита памяти

Идентификатор: FedRAMP Moderate SI-16 Собственность: совместная

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). AuditIfNotExists, Disabled 2.0.0

Следующие шаги

Дополнительные статьи о Политике Azure: