Dela via

Kontrollmappning av skissexemplet för Australian Government ISM PROTECTED

  • Artikel

Viktigt!

Den 11 juli 2026 kommer skisser (förhandsversion) att bli inaktuella. Migrera dina befintliga skissdefinitioner och tilldelningar till mallspecifikationer och distributionsstackar. Skissartefakter ska konverteras till ARM JSON-mallar eller Bicep-filer som används för att definiera distributionsstackar. Information om hur du skapar en artefakt som en ARM-resurs finns i:

I följande artikel beskrivs hur Azure Blueprints Australian Government ISM PROTECTED-skissexempel mappar till ISM PROTECTED-kontrollerna. Mer information om kontrollerna finns i ISM PROTECTED.

Följande mappningar är till ISM PROTECTED-kontrollerna . Använd navigeringen till höger för att gå direkt till en specifik kontrollmappning. Många av de mappade kontrollerna implementeras med ett Azure Policy-initiativ . Om du vill granska hela initiativet öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan reda på och välj kontrollerna [Preview]: Audit Australian Government ISM PROTECTED och distribuera specifika VM-tillägg för att stödja inbyggda principinitiativ för granskningskrav .

Viktigt!

Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan kontroller och Azure Policy-definitioner för det här kompatibilitetsskissexemplet kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.

Platsbegränsningar

Den här skissen hjälper dig att begränsa platsen för distributionen av alla resurser och resursgrupper till "Australia Central", "Australia Central2", "Australia East" och "Australia Southeast" genom att tilldela följande Azure Policy-definitioner:

  • Tillåtna platser (har hårdkodats till "Australia Central", "Australia Central2", "Australia East" och "Australia Southeast")
  • Tillåtna platser för resursgrupper (har hårdkodats till "Australia Central", "Australia Central2", "Australia East" och "Australia Southeast")

Riktlinjer för personalsäkerhet – Åtkomst till system och deras resurser

0414 Personal som beviljas åtkomst till ett system och dess resurser är unikt identifierbara

  • MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration
  • Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationen
  • MFA ska aktiveras på konton med läsbehörighet för din prenumeration

1503 Standardåtkomsten till system, program och datalagringsplatser är begränsad till den som krävs för att personalen ska kunna utföra sina uppgifter

  • Prenumerationen får ha högst 3 ägare
  • Det bör finnas fler än en ägare för prenumerationen
  • Visa granskningsresultat från virtuella Windows-datorer där gruppen Administratörer innehåller någon av de angivna medlemmarna
  • Distribuera krav för att granska virtuella Windows-datorer där gruppen Administratörer innehåller någon av de angivna medlemmarna

1507 Privilegierad åtkomst till system, program och datalagringsplatser verifieras när den först begärs och omfördefinieras årligen eller oftare

  • Visa granskningsresultat från virtuella Windows-datorer där gruppen Administratörer innehåller någon av de angivna medlemmarna
  • Distribuera krav för att granska virtuella Windows-datorer där gruppen Administratörer innehåller någon av de angivna medlemmarna

1508 Privilegierad åtkomst till system, program och datalagringsplatser är begränsad till den som krävs för att personalen ska kunna utföra sina uppgifter

  • Prenumerationen får ha högst 3 ägare
  • Det bör finnas fler än en ägare för prenumerationen
  • Visa granskningsresultat från virtuella Windows-datorer där gruppen Administratörer innehåller någon av de angivna medlemmarna
  • Distribuera krav för att granska virtuella Windows-datorer där gruppen Administratörer innehåller någon av de angivna medlemmarna
  • Just-in-time-kontroller av nätverksåtkomst ska tillämpas på virtuella datorer

0415 Användningen av delade användarkonton är strikt kontrollerad och personal som använder sådana konton är unikt identifierbar

  • Visa granskningsresultat från virtuella Windows-datorer där gruppen Administratörer innehåller någon av de angivna medlemmarna
  • Distribuera krav för att granska virtuella Windows-datorer där gruppen Administratörer innehåller någon av de angivna medlemmarna

0445 Privilegierade användare tilldelas ett dedikerat privilegierat konto som endast ska användas för uppgifter som kräver privilegierad åtkomst

  • Visa granskningsresultat från virtuella Windows-datorer där gruppen Administratörer innehåller någon av de angivna medlemmarna
  • Distribuera krav för att granska virtuella Windows-datorer där gruppen Administratörer innehåller någon av de angivna medlemmarna

0430 Åtkomst till system, program och datalagringsplatser tas bort eller pausas samma dag som personalen inte längre har ett legitimt krav på åtkomst

  • Inaktuella konton bör tas bort från din prenumeration
  • Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration

0441 När personal beviljas tillfällig tillgång till ett system införs effektiva säkerhetskontroller för att begränsa deras tillgång till endast den information som krävs för att de ska kunna utföra sina uppgifter

  • Externa konton med ägarbehörigheter bör tas bort från din prenumeration
  • Externa konton med skrivbehörigheter bör tas bort från prenumerationen
  • Inaktuella konton bör tas bort från din prenumeration
  • Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration

Riktlinjer för systemhärdning – Härdning av operativsystem

1407 Den senaste versionen (N) eller N-1-versionen av ett operativsystem används för standardoperativmiljöer (SOE)

  • Systemuppdateringar ska ha installerats på dina datorer
  • Systemuppdateringar måste installeras på skalningsuppsättningar för virtuell dator

0380 Onödiga operativsystemkonton, programvara, komponenter, tjänster och funktioner tas bort eller inaktiveras

  • Inaktuella konton bör tas bort från din prenumeration
  • Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration

1490 En lista över tillåtna programlösningar implementeras på alla servrar för att begränsa körningen av körbara filer, programvarubibliotek, skript och installationsprogram till en godkänd uppsättning

  • Anpassningsbara programkontroller ska vara aktiverade på virtuella datorer

1417 Antivirusprogram implementeras på arbetsstationer och servrar och konfigureras med: signaturbaserad identifiering aktiverad och inställd på en hög nivå, heuristisk baserad identifiering aktiverad och inställd på en hög nivå, identifieringssignaturer som kontrolleras för valuta och uppdateras minst dagligen, automatisk och regelbunden genomsökning konfigurerad för alla fasta diskar och flyttbara medier

  • Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar
  • Slutpunktsskyddslösning måste installeras på skalningsuppsättningar för virtuella datorer
  • Övervaka avsaknad av slutpunktsskydd i Azure Security Center

Riktlinjer för systemhärdning – Härdning av autentisering

1546 Användare autentiseras innan de beviljas åtkomst till ett system och dess resurser

  • Granska obegränsad nätverksåtkomst till lagringskonton
  • Service Fabric-kluster bör endast använda Azure Active Directory för klientautentisering
  • Visa granskningsresultat från virtuella Linux-datorer som tillåter fjärranslutningar från konton utan lösenord
  • Distribuera krav för att granska virtuella Linux-datorer som tillåter fjärranslutningar från konton utan lösenord
  • Visa granskningsresultat från virtuella Linux-datorer som har konton utan lösenord
  • Distribuera krav för att granska virtuella Linux-datorer som har konton utan lösenord

0974 Multi-Factor Authentication används för att autentisera standardanvändare

  • MFA ska aktiveras på konton med läsbehörighet för din prenumeration

1173 Multifaktorautentisering används för att autentisera alla privilegierade användare och andra förtroendepositioner

  • MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration
  • Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationen

0421 Lösenfraser som används för enfaktorautentisering är minst 14 tecken med komplexitet, helst som 4 slumpmässiga ord

  • Visa granskningsresultat från konfigurationer av virtuella Windows-datorer i Säkerhetsinställningar – Kontoprinciper
  • Distribuera krav för att granska konfigurationer av virtuella Windows-datorer i "Säkerhetsinställningar – kontoprinciper"

Riktlinjer för systemhantering – Systemadministration

1384 Multi-Factor Authentication används för att autentisera användare varje gång de utför privilegierade åtgärder

  • MFA ska vara aktiverat på konton med ägarbehörighet för din prenumeration
  • Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationen
  • MFA ska aktiveras på konton med läsbehörighet för din prenumeration

1386 Hanteringstrafik tillåts endast komma från nätverkszoner som används för att administrera system och program

  • Just-in-time-kontroller av nätverksåtkomst ska tillämpas på virtuella datorer
  • Fjärrfelsökning bör inaktiveras för API Apps
  • Fjärrfelsökning ska inaktiveras för funktionsappar
  • Fjärrfelsökning bör stängas av för webbprogram

Riktlinjer för systemhantering – systemkorrigering

1144 Säkerhetsrisker i program och drivrutiner som bedöms som extrema risker korrigeras, uppdateras eller minimeras inom 48 timmar efter att säkerhetsproblemen har identifierats av leverantörer, oberoende tredje part, systemchefer eller användare

  • Sårbarheter i dina SQL-databaser bör åtgärdas
  • Utvärdering av säkerhetsrisker bör aktiveras på dina SQL-servrar
  • Sårbarhetsbedömning ska aktiveras på dina SQL-hanterade instanser
  • Sårbarhetsbedömning ska aktiveras på datorer
  • Säkerhetsluckor bör åtgärdas i säkerhetskonfigurationen för virtuella datorskalningsuppsättningar
  • Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning
  • Säkerhetsluckor i datorernas säkerhetskonfiguration bör åtgärdas
  • Säkerhetsrisker i containersäkerhetskonfigurationer bör åtgärdas
  • Inställningarna för sårbarhetsbedömning för SQL-servern ska innehålla en e-postadress för att ta emot genomsökningsrapporter

0940 Säkerhetsrisker i program och drivrutiner som bedöms som hög risk korrigeras, uppdateras eller minimeras inom två veckor efter att säkerhetsproblemet har identifierats av leverantörer, oberoende tredje part, systemchefer eller användare

  • Sårbarheter i dina SQL-databaser bör åtgärdas
  • Utvärdering av säkerhetsrisker bör aktiveras på dina SQL-servrar
  • Sårbarhetsbedömning ska aktiveras på dina SQL-hanterade instanser
  • Sårbarhetsbedömning ska aktiveras på virtuella datorer
  • Säkerhetsluckor bör åtgärdas i säkerhetskonfigurationen för virtuella datorskalningsuppsättningar
  • Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning
  • Säkerhetsluckor i datorernas säkerhetskonfiguration bör åtgärdas
  • Säkerhetsrisker i containersäkerhetskonfigurationer bör åtgärdas
  • Inställningarna för sårbarhetsbedömning för SQL-servern ska innehålla en e-postadress för att ta emot genomsökningsrapporter

1472 Säkerhetsrisker i program och drivrutiner som bedöms som måttliga eller låga risker korrigeras, uppdateras eller minimeras inom en månad efter att säkerhetsproblemet har identifierats av leverantörer, oberoende tredje part, systemchefer eller användare

  • Sårbarheter i dina SQL-databaser bör åtgärdas
  • Utvärdering av säkerhetsrisker bör aktiveras på dina SQL-servrar
  • Sårbarhetsbedömning ska aktiveras på dina SQL-hanterade instanser
  • Sårbarhetsbedömning ska aktiveras på virtuella datorer
  • Säkerhetsluckor bör åtgärdas i säkerhetskonfigurationen för virtuella datorskalningsuppsättningar
  • Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning
  • Säkerhetsluckor i datorernas säkerhetskonfiguration bör åtgärdas
  • Säkerhetsrisker i containersäkerhetskonfigurationer bör åtgärdas
  • Inställningarna för sårbarhetsbedömning för SQL-servern ska innehålla en e-postadress för att ta emot genomsökningsrapporter

1494 Säkerhetsrisker i operativsystem och inbyggd programvara som bedöms som extrema risker korrigeras, uppdateras eller minimeras inom 48 timmar efter att de säkerhetsrisker som identifieras av leverantörer, oberoende tredje part, systemchefer eller användare

  • Sårbarheter i dina SQL-databaser bör åtgärdas
  • Utvärdering av säkerhetsrisker bör aktiveras på dina SQL-servrar
  • Sårbarhetsbedömning ska aktiveras på dina SQL-hanterade instanser
  • Sårbarhetsbedömning ska aktiveras på virtuella datorer
  • Säkerhetsluckor bör åtgärdas i säkerhetskonfigurationen för virtuella datorskalningsuppsättningar
  • Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning
  • Säkerhetsluckor i datorernas säkerhetskonfiguration bör åtgärdas
  • Säkerhetsrisker i containersäkerhetskonfigurationer bör åtgärdas
  • Inställningarna för sårbarhetsbedömning för SQL-servern ska innehålla en e-postadress för att ta emot genomsökningsrapporter

1495 Säkerhetsrisker i operativsystem och inbyggd programvara som bedöms som hög risk korrigeras, uppdateras eller minimeras inom två veckor efter att säkerhetsproblemet har identifierats av leverantörer, oberoende tredje part, systemansvariga eller användare

  • Sårbarheter i dina SQL-databaser bör åtgärdas
  • Utvärdering av säkerhetsrisker bör aktiveras på dina SQL-servrar
  • Sårbarhetsbedömning ska aktiveras på dina SQL-hanterade instanser
  • Sårbarhetsbedömning ska aktiveras på virtuella datorer
  • Säkerhetsluckor bör åtgärdas i säkerhetskonfigurationen för virtuella datorskalningsuppsättningar
  • Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning
  • Säkerhetsluckor i datorernas säkerhetskonfiguration bör åtgärdas
  • Säkerhetsrisker i containersäkerhetskonfigurationer bör åtgärdas
  • Inställningarna för sårbarhetsbedömning för SQL-servern ska innehålla en e-postadress för att ta emot genomsökningsrapporter

1496 Säkerhetsrisker i operativsystem och inbyggd programvara som bedöms som måttliga eller låga risker korrigeras, uppdateras eller minimeras inom en månad efter den säkerhetsrisk som identifieras av leverantörer, oberoende tredje part, systemansvariga eller användare

  • Sårbarheter i dina SQL-databaser bör åtgärdas
  • Utvärdering av säkerhetsrisker bör aktiveras på dina SQL-servrar
  • Sårbarhetsbedömning ska aktiveras på dina SQL-hanterade instanser
  • Sårbarhetsbedömning ska aktiveras på virtuella datorer
  • Säkerhetsluckor bör åtgärdas i säkerhetskonfigurationen för virtuella datorskalningsuppsättningar
  • Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning
  • Säkerhetsluckor i datorernas säkerhetskonfiguration bör åtgärdas
  • Säkerhetsrisker i containersäkerhetskonfigurationer bör åtgärdas
  • Inställningarna för sårbarhetsbedömning för SQL-servern ska innehålla en e-postadress för att ta emot genomsökningsrapporter

Riktlinjer för systemhantering – säkerhetskopiering och återställning av data

1511 Säkerhetskopior av viktig information, programvara och konfigurationsinställningar utförs minst dagligen

  • Granska virtuella datorer utan att haveriberedskap har konfigurerats

Riktlinjer för systemövervakning – händelseloggning och granskning

1405 En centraliserad loggningsanläggning implementeras och system är konfigurerade för att spara händelseloggar till den centraliserade loggningsanläggningen så snart som möjligt efter varje händelse inträffar

  • Azure-prenumerationer bör ha en loggprofil för aktivitetsloggen

0582 Följande händelser loggas för operativsystem: åtkomst till viktiga data och processer, programkrascher och eventuella felmeddelanden, försök att använda särskilda privilegier, ändringar av konton, ändringar i säkerhetsprinciper, ändringar i systemkonfigurationer, DNS-begäranden (Domain Name System) och HTTP(Hypertext Transfer Protocol), misslyckade försök att komma åt data och systemresurser, tjänstfel och omstarter, systemstart och avstängning, överföring av data till externa medier, användar- eller grupphantering, användning av särskilda privilegier

  • [Förhandsversion]: Granska log analytics-agentdistribution – VM-avbildning (OS) olistad
  • Granska log analytics-agentdistribution i VMSS – VM-avbildning (OS) olistad
  • Granska Log Analytics-arbetsyta för virtuell dator – Rapportmatchningsfel
  • Granska diagnostikinställning

1537 Följande händelser loggas för databaser: åtkomst till särskilt viktig information, tillägg av nya användare, särskilt privilegierade användare, frågor som innehåller kommentarer, frågor som innehåller flera inbäddade frågor, eventuella fråge- eller databasaviseringar eller fel, försök att höja behörigheter, försök till åtkomst som lyckas eller misslyckas, ändringar i databasstrukturen, ändringar av användarroller eller databasbehörigheter, databasadministratörsåtgärder, databasinloggningar och utloggningar, ändringar av data, användning av körbara kommandon

  • Avancerad datasäkerhet bör aktiveras på dina SQL-servrar
  • Granska diagnostikinställning
  • Avancerad datasäkerhet bör aktiveras på dina SQL-hanterade instanser

Riktlinjer för systemövervakning – sårbarhetshantering

0911 Sårbarhetsbedömningar och intrångstester utförs av lämplig kvalificerad personal innan ett system distribueras, efter en betydande förändring av ett system, och minst årligen eller enligt systemägarens specifikationer

  • Sårbarheter i dina SQL-databaser bör åtgärdas
  • Utvärdering av säkerhetsrisker bör aktiveras på dina SQL-servrar
  • Sårbarhetsbedömning ska aktiveras på dina SQL-hanterade instanser
  • Sårbarhetsbedömning ska aktiveras på virtuella datorer
  • Säkerhetsluckor bör åtgärdas i säkerhetskonfigurationen för virtuella datorskalningsuppsättningar
  • Sårbarheter bör åtgärdas av en lösning för sårbarhetsbedömning
  • Säkerhetsluckor i datorernas säkerhetskonfiguration bör åtgärdas
  • Säkerhetsrisker i containersäkerhetskonfigurationer bör åtgärdas

Riktlinjer för hantering av databassystem – databasservrar

1425 Hårddiskar med databasservrar krypteras med fullständig diskkryptering

  • Diskkryptering bör tillämpas på virtuella datorer
  • transparent datakryptering på SQL-databaser ska vara aktiverat

1277 Information som förmedlas mellan databasservrar och webbprogram krypteras

  • Endast säkra anslutningar till Redis Cache bör vara aktiverade
  • Säker överföring till lagringskonton ska vara aktiverat
  • Visa granskningsresultat från Windows-webbservrar som inte använder säkra kommunikationsprotokoll
  • Distribuera krav för att granska Windows-webbservrar som inte använder säkra kommunikationsprotokoll

Riktlinjer för hantering av databassystem – Programvara för databashanteringssystem

1260 Standarddatabasadministratörskonton är inaktiverade, byter namn eller får sina lösenfraser ändrade

  • En Azure Active Directory-administratör bör etableras för SQL-servrar

1262 Databasadministratörer har unika och identifierbara konton

  • En Azure Active Directory-administratör bör etableras för SQL-servrar

1261 Databasadministratörskonton delas inte mellan olika databaser

  • En Azure Active Directory-administratör bör etableras för SQL-servrar

1263 Databasadministratörskonton används uteslutande för administrativa uppgifter, med standarddatabaskonton som används för allmänna interaktioner med databasen

  • En Azure Active Directory-administratör bör etableras för SQL-servrar

1264 Databasadministratörsåtkomst är begränsad till definierade roller i stället för konton med standardadministratörsbehörighet eller alla behörigheter

  • En Azure Active Directory-administratör bör etableras för SQL-servrar

Riktlinjer för användning av kryptografi – grunderna i kryptografi

0459 Krypteringsprogram som används för vilande data implementerar fullständig diskkryptering eller partiell kryptering där åtkomstkontroller endast tillåter skrivning till den krypterade partitionen

  • Diskkryptering bör tillämpas på virtuella datorer

Riktlinjer för användning av kryptografi – Säkerhet på transportnivå

1139 Endast den senaste versionen av TLS används

  • Den senaste TLS-versionen ska användas i din API-app
  • Den senaste TLS-versionen ska användas i webbappen
  • Den senaste TLS-versionen ska användas i funktionsappen
  • Distribuera krav för att granska Windows-webbservrar som inte använder säkra kommunikationsprotokoll
  • Visa granskningsresultat från Windows-webbservrar som inte använder säkra kommunikationsprotokoll

Riktlinjer för dataöverföringar och innehållsfiltrering – innehållsfiltrering

1288 Antivirusgenomsökning, med flera olika genomsökningsmotorer, utförs på allt innehåll

  • Microsoft IaaSAntimalware-tillägget ska distribueras på Windows-servrar
  • Slutpunktsskyddslösning måste installeras på skalningsuppsättningar för virtuella datorer
  • Övervaka avsaknad av slutpunktsskydd i Azure Security Center

Riktlinjer för dataöverföringar och innehållsfiltrering – utveckling av webbprogram

1552 Allt webbprograminnehåll erbjuds exklusivt med HTTPS

  • Funktionsappen ska endast vara tillgänglig via HTTPS
  • API-appen bör endast vara tillgänglig via HTTPS
  • Webbappen bör endast vara åtkomlig via HTTPS
  • Endast säkra anslutningar till Redis Cache bör vara aktiverade

1424 Webbläsarbaserade säkerhetskontroller implementeras för webbprogram för att skydda både webbprogram och deras användare

  • CORS (Cross Origin Resource Sharing) bör inte tillåta att alla resurser har åtkomst till dina webbappar

Riktlinjer för nätverkshantering – Nätverksdesign och konfiguration

0520 Nätverksåtkomstkontroller implementeras i nätverk för att förhindra anslutning av obehöriga nätverksenheter

  • Granska obegränsad nätverksåtkomst till lagringskonton

1182 Nätverksåtkomstkontroller implementeras för att begränsa trafik inom och mellan nätverkssegment till endast de som krävs för affärsändamål

  • Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper
  • Granska obegränsad nätverksåtkomst till lagringskonton
  • Rekommendationer för anpassningsbar nätverkshärdning bör tillämpas på internetuppkopplade virtuella datorer

Riktlinjer för nätverkshantering – tjänstkontinuitet för onlinetjänster

1431 Strategier för skydd och minskning av överbelastningsattacker diskuteras med tjänsteleverantörer, särskilt: deras förmåga att motstå överbelastningsattacker, eventuella kostnader som kan uppstå för kunder till följd av överbelastningsattacker, tröskelvärden för att meddela kunder eller stänga av deras onlinetjänster under överbelastningsattacker, förgodkända åtgärder som kan utföras under överbelastningsattacker, överbelastningsattacker med överordnade leverantörer för att blockera skadlig trafik så långt uppströms som möjligt

  • DDoS-skydd ska vara aktiverat

Kommentar

Tillgängligheten för specifika Azure Policy-definitioner kan variera i Azure Government och andra nationella moln.

Nästa steg

Ytterligare artiklar om skisser och hur de används:

ISM PROTECTED-skiss – Översikt överISM PROTECTED-skiss – Distribuera steg