Поделиться через


Подробные сведения о встроенной инициативе о соответствии нормативным требованиям теста производительности CIS для платформ Microsoft Azure 1.1.0 (Azure для государственных организаций).

В следующей статье подробно описано, как определение встроенной инициативы о соответствии нормативным требованиям Политики Azure сопоставляется с областями соответствия нормативным требованиям и элементами управления в тестах CIS оценки безопасности для платформ Microsoft Azure 1.1.0 (Azure для государственных организаций). Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure 1.1.0. Чтобы понять право владения, просмотрите тип политики и общую ответственность в облаке.

Ниже приведены сопоставления, соответствующие элементам управления CIS Microsoft Azure Foundations Benchmark 1.1.0. Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите определение встроенной инициативы о соответствии требованиям Azure Foundations Benchmark CIS для платформ Microsoft Azure версии 1.1.0.

Внимание

Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.

1. Управление удостоверениями и доступом

Обеспечение того, что многофакторная проверка подлинности включена для всех привилегированных пользователей

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.1 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что многофакторная проверка подлинности включена для всех непривилегированных пользователей

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.2 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что гостевых пользователей не существует

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.3 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. AuditIfNotExists, Disabled 1.0.0

2. Центр безопасности

Обеспечение того, что выбрана ценовая категория "Стандартный"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.1 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Azure Defender для серверов Базы данных SQL Azure должен быть включен Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. AuditIfNotExists, Disabled 1.0.2
Azure Defender для серверов должен быть включен Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. AuditIfNotExists, Disabled 1.0.3
Microsoft Defender для контейнеров должен быть включен Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender для хранилища (классическая модель) должна быть включена Microsoft Defender для хранилища (классическая модель) обеспечивает обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. AuditIfNotExists, Disabled 1.0.4

Обеспечение того, что параметр "Мониторинг JIT-доступа к сети" не имеет значение "Отключено" в политике ASC по умолчанию

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.12 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.0.0

Обеспечение того, что параметр "Мониторинг аудита SQL" не имеет значение "Отключено" в политике ASC по умолчанию

Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 2.14 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить аудит на сервере SQL Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. AuditIfNotExists, Disabled 2.0.0

Обеспечение того, что параметр "Мониторинг шифрования SQL" не имеет значение "Отключено" в политике ASC по умолчанию

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 2.15 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В базах данных SQL должно применяться прозрачное шифрование данных Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. AuditIfNotExists, Disabled 2.0.0

Обеспечение того, что установлен параметр "Адреса электронной почты контактных лиц по вопросам безопасности"

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 2.16 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. AuditIfNotExists, Disabled 1.0.1

Обеспечение того, что включен параметр "Отправлять оповещения высокой серьезности по электронной почте"

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 2.18 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 1.0.1

Обеспечение того, что включен параметр "Также отправлять оповещения владельцам подписки"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.19 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. AuditIfNotExists, Disabled 2.0.0

Обеспечение того, что параметр "Мониторинг уязвимостей ОС" не имеет значение"Отключено" в политике ASC по умолчанию

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 2.4 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. AuditIfNotExists, Disabled 3.1.0

Обеспечение того, что параметр "Включение мониторинга брандмауэра следующего поколения (NGFW)" не имеет значение "Отключено" в политике ASC по умолчанию

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.9 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Подсети должны быть связаны с группой безопасности сети. Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. AuditIfNotExists, Disabled 3.0.0

3. Учетные записи хранения

Обеспечение того, что для параметра "Требуется безопасное перемещение" задано значение "Включено"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.1 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Должно выполняться безопасное перемещение в учетные записи хранения Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. Audit, Deny, Disabled 2.0.0

Обеспечение того, что в правиле сетевого доступа по умолчанию для учетных записей хранения задано значение "Отклонить"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.7 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи хранения должны ограничивать доступ к сети. Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. Audit, Deny, Disabled 1.1.1

Убедитесь что для доступа к учетной записи хранения включен параметр "Доверенные службы Майкрософт"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.8 Владение: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. Audit, Deny, Disabled 1.0.0

4. Службы баз данных

Обеспечение того, что для параметра "Аудит" задано значение "Вкл."

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.1 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить аудит на сервере SQL Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. AuditIfNotExists, Disabled 2.0.0

Обеспечение того, что предохранитель TDE сервера SQL зашифрован с помощью BYOK (используйте собственный ключ)

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.10 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. Audit, Deny, Disabled 2.0.0
Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. Audit, Deny, Disabled 2.0.1

Обеспечение того, что параметр "Принудительно использовать SSL-соединение" включен для сервера баз данных MySQL

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.11 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1

Обеспечение того, что параметр log_checkpoints включен для сервера базы данных PostgreSQL

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.12 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
На серверах баз данных PostgreSQL должны быть включены контрольные точки журнала Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, в которых не включен параметр log_checkpoints. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что параметр "Принудительно использовать SSL-соединение" включен для сервера баз данных PostgreSQL

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.13 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. Audit, Disabled 1.0.1

Обеспечение того, что параметр log_connections включен для сервера базы данных PostgreSQL

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.14 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
На серверах баз данных PostgreSQL должны быть включены журналы подключений Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_connections. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что параметр log_disconnections включен для сервера базы данных PostgreSQL

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.15: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
На серверах баз данных PostgreSQL должны быть включены журналы отключений. Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_disconnections. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что параметр connection_throttling включен для сервера базы данных PostgreSQL

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.17 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для серверов баз данных PostgreSQL должно быть включено регулирование подключения Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включено регулирование подключения. Этот параметр обеспечивает временное регулирование подключений по IP-адресу при слишком большом числе неудачных попыток входа с паролем. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что параметр AuditActionGroups в политике аудита для SQL-сервера установлен правильно

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В параметрах аудита SQL необходимо настроить группы действий для записи критических действий Для подробного ведения журнала аудита свойство AuditActionsAndGroups должно включать как минимум следующие значения: SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP и BATCH_COMPLETED_GROUP. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что задан период хранения данных аудита более 90 дней

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.3 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. AuditIfNotExists, Disabled 3.0.0

Обеспечение того, что для параметра "Расширенная защита данных" на сервере SQL задано значение "Вкл."

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.4 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL Аудит серверов SQL без Расширенной защиты данных AuditIfNotExists, Disabled 2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. AuditIfNotExists, Disabled 1.0.2

Обеспечение того, что администратор Azure Active Directory настроен

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.8 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для серверов SQL должен быть подготовлен администратор Azure Active Directory Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что для параметра "Шифрование данных" в Базе данных SQL установлено значение "Вкл."

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.9 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В базах данных SQL должно применяться прозрачное шифрование данных Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. AuditIfNotExists, Disabled 2.0.0

5. Ведение журналов и мониторинг

Обеспечение того, что существует профиль журнала

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.1 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Подписки Azure должны иметь профиль журнала для журнала действий Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что срок хранения журнала действий составляет 365 дней или больше

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.2 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Журнал действий должен храниться как минимум один год Эта политика осуществляет аудит журнала действий, если не настроен неограниченный период хранения или срок хранения, равный 365 дням (задано 0 дней хранения). AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что профиль аудита собирает сведения обо всех действиях

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.3 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Профиль журнала Azure Monitor должен собирать журналы по категориям "write", "delete" и "action" Эта политика заставляет профиль журнала собирать журналы по категориям "write" (запись), "delete" (удаление) и "action" (действие). AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что профиль журнала собирает журналы действий по всем регионам, включая глобальный

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.4 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Azure Monitor должен собирать журналы действий из всех регионов Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. AuditIfNotExists, Disabled 2.0.0

Обеспечение того, что учетная запись хранения, содержащая контейнер с журналами действий, зашифрована с помощью BYOK

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.6 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK Эта политика проверяет, зашифрована ли учетная запись хранения, содержащая контейнер с журналами действий, с помощью BYOK. Эта политика применяется только в том случае, если проект реализован так, что учетная запись хранения находится в той же подписке, что и журналы действий. Дополнительные сведения о шифровании неактивных данных в службе хранилища Azure см. на странице https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что для параметр ведения журнала для Azure KeyVault включен

Id: CIS Microsoft Azure Foundations Benchmark рекомендации 5.1.7 Владения: shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В Key Vault должны быть включены журналы ресурсов Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. AuditIfNotExists, Disabled 5.0.0

Обеспечение того, что для операции создания назначения политики существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.1 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для определенных операций политики должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 3.0.0

Обеспечение того, что для операции создания или обновления группы безопасности сети существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.2 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для выполнения определенных административных операций должно существовать оповещение журнала действий. Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что для операции удаления группы безопасности сети существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.3 Ответственность: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для выполнения определенных административных операций должно существовать оповещение журнала действий. Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что для операции создания или обновления правила группы безопасности сети существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.4 Ответственность: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для выполнения определенных административных операций должно существовать оповещение журнала действий. Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что для операции удаления правила группы безопасности сети существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.5 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для выполнения определенных административных операций должно существовать оповещение журнала действий. Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что для операции создания или обновления решения безопасности существует оповещение журнала действий

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 5.2.6 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для определенных операций безопасности должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что для операции удаления решения безопасности существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.7 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для определенных операций безопасности должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что для операции создания, обновления или удаления правила брандмауэра SQL Server существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.8 Ответственность: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для выполнения определенных административных операций должно существовать оповещение журнала действий. Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0

Обеспечение того, что для операции обновления политики безопасности существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.9 Ответственность: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Для определенных операций безопасности должно существовать оповещение журнала действий Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. AuditIfNotExists, Disabled 1.0.0

6. Сеть

Обеспечение того, что служба "Наблюдатель за сетями" включена

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 6.5 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Необходимо включить Наблюдатель за сетями Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. AuditIfNotExists, Disabled 3.0.0

7. Виртуальные машины

Обеспечение того, что установлены только утвержденные расширения

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.4 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Должны быть установлены только утвержденные расширения виртуальных машин Эта политика управляет неутвержденными расширениями виртуальных машин. Audit, Deny, Disabled 1.0.0

8. Прочие вопросы по безопасности

Обеспечение того, что хранилище ключей поддерживает восстановление

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.4 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В хранилищах ключей должна быть включена защита от удаления Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. Audit, Deny, Disabled 2.1.0

Включение управления доступом на основе ролей (RBAC) в службе Azure Kubernetes

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.5 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC) Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации. Audit, Disabled 1.0.4

9. Служба приложений

Обеспечение того, что для Службы приложений Azure задана проверка подлинности в Службе приложений Azure

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.1 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
В приложениях Службы приложений должна быть включена проверка подлинности Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к веб-приложению для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами. AuditIfNotExists, Disabled 2.0.1
В приложениях-функциях должна быть включена проверка подлинности Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к приложению-функции для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами. AuditIfNotExists, Disabled 3.0.0

В веб-приложении должна использоваться последняя версия HTTP

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 9.10 : Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Приложения Службы приложений должны использовать последнюю версию HTTP Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. AuditIfNotExists, Disabled 4.0.0
Приложения-функции должны использовать последнюю версию HTTP Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. AuditIfNotExists, Disabled 4.0.0

Обеспечение того, что веб-приложение перенаправляет весь трафик HTTP на HTTPS в Службе приложений Azure

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.2 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. Audit, Disabled, Deny 4.0.0

Проверка использования последней версии шифрования TLS в веб-приложении

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.3 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Приложения Службы приложений должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. AuditIfNotExists, Disabled 2.1.0
Приложения-функции должны использовать последнюю версию TLS Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. AuditIfNotExists, Disabled 2.1.0

Параметр "Сертификаты клиента (входящие сертификаты клиента)" для веб-приложения должен иметь значение "Вкл."

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.4 Ownership: Shared

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
[Не рекомендуется]: приложения-функции должны иметь значение "Сертификаты клиента (Входящие сертификаты клиента)" Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов. Audit, Disabled 3.1.0-устаревший
Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. AuditIfNotExists, Disabled 1.0.0

В службе приложений должна быть включена регистрация в Azure Active Directory

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.5 Ответственность: Общий доступ

Имя.
(портал Azure)
Description Действие Версия
(GitHub)
Приложения Службы приложений должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0
Приложения-функции должны использовать управляемое удостоверение Используйте управляемое удостоверение для повышения безопасности проверки подлинности. AuditIfNotExists, Disabled 3.0.0

Следующие шаги

Дополнительные статьи о Политике Azure: