Information om det inbyggda initiativet System- och organisationskontroller (SOC) 2 Regelefterlevnad
I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i System- och organisationskontroller (SOC) 2. Mer information om den här efterlevnadsstandarden finns i System- och organisationskontroller (SOC) 2. Om du vill förstå Ägarskap granskar du principtypen och delat ansvar i molnet.
Följande mappningar gäller för soc-kontrollerna (System and Organization Controls) 2 . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan upp och välj den inbyggda initiativdefinitionen SOC 2 Typ 2 Regelefterlevnad.
Viktigt!
Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.
Ytterligare villkor för tillgänglighet
Kapacitetshantering
ID: SOC 2 Typ 2 A1.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Genomföra kapacitetsplanering | CMA_C1252 – Genomföra kapacitetsplanering | Manuell, inaktiverad | 1.1.0 |
Miljöskydd, programvara, säkerhetskopieringsprocesser för data och återställningsinfrastruktur
ID: SOC 2 Typ 2 A1.2 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Azure Backup ska vara aktiverat för virtuella datorer | Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, inaktiverad | 3.0.0 |
Använda automatisk nödbelysning | CMA_0209 – Använda automatisk nödbelysning | Manuell, inaktiverad | 1.1.0 |
Upprätta en alternativ bearbetningsplats | CMA_0262 – Upprätta en alternativ bearbetningsplats | Manuell, inaktiverad | 1.1.0 |
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB | Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL | Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL | Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
Implementera en metod för intrångstestning | CMA_0306 – Implementera en metod för intrångstestning | Manuell, inaktiverad | 1.1.0 |
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | Manuell, inaktiverad | 1.1.0 |
Installera ett larmsystem | CMA_0338 – Installera ett larmsystem | Manuell, inaktiverad | 1.1.0 |
Återställa och återskapa resurser efter eventuella avbrott | CMA_C1295 – Återställa och återskapa resurser efter eventuella avbrott | Manuell, inaktiverad | 1.1.1 |
Köra simuleringsattacker | CMA_0486 – Köra simuleringsattacker | Manuell, inaktiverad | 1.1.0 |
Lagra säkerhetskopieringsinformation separat | CMA_C1293 – Lagra säkerhetskopieringsinformation separat | Manuell, inaktiverad | 1.1.0 |
Överföra säkerhetskopieringsinformation till en alternativ lagringsplats | CMA_C1294 – Överföra säkerhetskopieringsinformation till en alternativ lagringsplats | Manuell, inaktiverad | 1.1.0 |
Testning av återställningsplan
ID: SOC 2 Typ 2 A1.3 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Samordna beredskapsplaner med relaterade planer | CMA_0086 – Samordna beredskapsplaner med relaterade planer | Manuell, inaktiverad | 1.1.0 |
Initiera åtgärdstestning av beredskapsplan | CMA_C1263 – Initiera korrigeringsåtgärder för beredskapsplanstestning | Manuell, inaktiverad | 1.1.0 |
Granska resultatet av testning av beredskapsplaner | CMA_C1262 – Granska resultatet av testning av beredskapsplaner | Manuell, inaktiverad | 1.1.0 |
Testa planen för affärskontinuitet och haveriberedskap | CMA_0509 – Testa planen för affärskontinuitet och haveriberedskap | Manuell, inaktiverad | 1.1.0 |
Ytterligare kriterier för konfidentialitet
Skydd av konfidentiell information
ID: SOC 2 Typ 2 C1.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
Hantera indata, utdata, bearbetning och lagring av data | CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data | Manuell, inaktiverad | 1.1.0 |
Granska etikettaktivitet och analys | CMA_0474 – Granska etikettaktivitet och analys | Manuell, inaktiverad | 1.1.0 |
Bortskaffande av konfidentiell information
ID: SOC 2 Typ 2 C1.2 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
Hantera indata, utdata, bearbetning och lagring av data | CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data | Manuell, inaktiverad | 1.1.0 |
Granska etikettaktivitet och analys | CMA_0474 – Granska etikettaktivitet och analys | Manuell, inaktiverad | 1.1.0 |
Kontrollmiljö
COSO-princip 1
ID: SOC 2 Typ 2 CC1.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Utveckla principer och procedurer för godtagbar användning | CMA_0143 – Utveckla principer och procedurer för godtagbar användning | Manuell, inaktiverad | 1.1.0 |
Utveckla organisationens policy för uppförandekod | CMA_0159 – Utveckla organisationens uppförandekod | Manuell, inaktiverad | 1.1.0 |
Dokumentera personalens godkännande av sekretesskrav | CMA_0193 – Dokumentera personalens godkännande av sekretesskrav | Manuell, inaktiverad | 1.1.0 |
Framtvinga regler för beteende- och åtkomstavtal | CMA_0248 – Framtvinga regler för beteende- och åtkomstavtal | Manuell, inaktiverad | 1.1.0 |
Förbjuda illojala metoder | CMA_0396 – Förbjuda otillbörliga metoder | Manuell, inaktiverad | 1.1.0 |
Granska och signera ändrade beteenderegler | CMA_0465 – Granska och underteckna ändrade beteenderegler | Manuell, inaktiverad | 1.1.0 |
Uppdatera regler för beteende- och åtkomstavtal | CMA_0521 – Uppdatera regler för beteende- och åtkomstavtal | Manuell, inaktiverad | 1.1.0 |
Uppdatera regler för beteende och åtkomstavtal vart tredje år | CMA_0522 – Uppdatera regler för beteende- och åtkomstavtal vart tredje år | Manuell, inaktiverad | 1.1.0 |
COSO-princip 2
ID: SOC 2 Typ 2 CC1.2 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Utse en högre informationssäkerhetsansvarig | CMA_C1733 – Utse en högre informationssäkerhetsansvarig | Manuell, inaktiverad | 1.1.0 |
Utveckla och upprätta en systemsäkerhetsplan | CMA_0151 – Utveckla och upprätta en systemsäkerhetsplan | Manuell, inaktiverad | 1.1.0 |
Upprätta en riskhanteringsstrategi | CMA_0258 – Upprätta en riskhanteringsstrategi | Manuell, inaktiverad | 1.1.0 |
Upprätta säkerhetskrav för tillverkning av anslutna enheter | CMA_0279 – Fastställa säkerhetskrav för tillverkning av anslutna enheter | Manuell, inaktiverad | 1.1.0 |
Implementera säkerhetstekniska principer för informationssystem | CMA_0325 – Implementera säkerhetstekniska principer för informationssystem | Manuell, inaktiverad | 1.1.0 |
COSO-princip 3
ID: SOC 2 Typ 2 CC1.3 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Utse en högre informationssäkerhetsansvarig | CMA_C1733 – Utse en högre informationssäkerhetsansvarig | Manuell, inaktiverad | 1.1.0 |
Utveckla och upprätta en systemsäkerhetsplan | CMA_0151 – Utveckla och upprätta en systemsäkerhetsplan | Manuell, inaktiverad | 1.1.0 |
Upprätta en riskhanteringsstrategi | CMA_0258 – Upprätta en riskhanteringsstrategi | Manuell, inaktiverad | 1.1.0 |
Upprätta säkerhetskrav för tillverkning av anslutna enheter | CMA_0279 – Fastställa säkerhetskrav för tillverkning av anslutna enheter | Manuell, inaktiverad | 1.1.0 |
Implementera säkerhetstekniska principer för informationssystem | CMA_0325 – Implementera säkerhetstekniska principer för informationssystem | Manuell, inaktiverad | 1.1.0 |
COSO-princip 4
ID: SOC 2 Typ 2 CC1.4 Ägarskap: Delat
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Tillhandahålla regelbunden rollbaserad säkerhetsutbildning | CMA_C1095 – Tillhandahålla regelbunden rollbaserad säkerhetsutbildning | Manuell, inaktiverad | 1.1.0 |
Tillhandahålla regelbunden utbildning för säkerhetsmedvetenhet | CMA_C1091 – Tillhandahålla regelbunden utbildning om säkerhetsmedvetenhet | Manuell, inaktiverad | 1.1.0 |
Tillhandahålla rollbaserade praktiska övningar | CMA_C1096 – Tillhandahålla rollbaserade praktiska övningar | Manuell, inaktiverad | 1.1.0 |
Tillhandahålla säkerhetsutbildning innan du ger åtkomst | CMA_0418 – Tillhandahålla säkerhetsutbildning innan du ger åtkomst | Manuell, inaktiverad | 1.1.0 |
Tillhandahålla säkerhetsutbildning för nya användare | CMA_0419 – Tillhandahålla säkerhetsutbildning för nya användare | Manuell, inaktiverad | 1.1.0 |
COSO-princip 5
ID: SOC 2 Typ 2 CC1.5 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Utveckla principer och procedurer för godtagbar användning | CMA_0143 – Utveckla principer och procedurer för godtagbar användning | Manuell, inaktiverad | 1.1.0 |
Framtvinga regler för beteende- och åtkomstavtal | CMA_0248 – Framtvinga regler för beteende- och åtkomstavtal | Manuell, inaktiverad | 1.1.0 |
Implementera formell sanktionsprocess | CMA_0317 – Genomföra formell sanktionsprocess | Manuell, inaktiverad | 1.1.0 |
Meddela personalen om sanktioner | CMA_0380 – Meddela personalen om sanktioner | Manuell, inaktiverad | 1.1.0 |
Kommunikation och information
COSO-princip 13
ID: SOC 2 Typ 2 CC2.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
Hantera indata, utdata, bearbetning och lagring av data | CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data | Manuell, inaktiverad | 1.1.0 |
Granska etikettaktivitet och analys | CMA_0474 – Granska etikettaktivitet och analys | Manuell, inaktiverad | 1.1.0 |
COSO-princip 14
ID: SOC 2 Typ 2 CC2.2 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Utveckla principer och procedurer för godtagbar användning | CMA_0143 – Utveckla principer och procedurer för godtagbar användning | Manuell, inaktiverad | 1.1.0 |
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.2.0 |
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.1.0 |
Framtvinga regler för beteende- och åtkomstavtal | CMA_0248 – Framtvinga regler för beteende- och åtkomstavtal | Manuell, inaktiverad | 1.1.0 |
Tillhandahålla regelbunden rollbaserad säkerhetsutbildning | CMA_C1095 – Tillhandahålla regelbunden rollbaserad säkerhetsutbildning | Manuell, inaktiverad | 1.1.0 |
Tillhandahålla regelbunden utbildning för säkerhetsmedvetenhet | CMA_C1091 – Tillhandahålla regelbunden utbildning om säkerhetsmedvetenhet | Manuell, inaktiverad | 1.1.0 |
Tillhandahålla säkerhetsutbildning innan du ger åtkomst | CMA_0418 – Tillhandahålla säkerhetsutbildning innan du ger åtkomst | Manuell, inaktiverad | 1.1.0 |
Tillhandahålla säkerhetsutbildning för nya användare | CMA_0419 – Tillhandahålla säkerhetsutbildning för nya användare | Manuell, inaktiverad | 1.1.0 |
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
COSO-princip 15
ID: SOC 2 Typ 2 CC2.3 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Definiera uppgifter för processorer | CMA_0127 – Definiera uppgifter för processorer | Manuell, inaktiverad | 1.1.0 |
Leverera resultat från säkerhetsutvärdering | CMA_C1147 – Leverera resultat för säkerhetsutvärdering | Manuell, inaktiverad | 1.1.0 |
Utveckla och upprätta en systemsäkerhetsplan | CMA_0151 – Utveckla och upprätta en systemsäkerhetsplan | Manuell, inaktiverad | 1.1.0 |
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.2.0 |
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.1.0 |
Upprätta säkerhetskrav för tillverkning av anslutna enheter | CMA_0279 – Fastställa säkerhetskrav för tillverkning av anslutna enheter | Manuell, inaktiverad | 1.1.0 |
Upprätta säkerhetskrav för personal från tredje part | CMA_C1529 – Upprätta säkerhetskrav för tredje part | Manuell, inaktiverad | 1.1.0 |
Implementera leveransmetoder för sekretessmeddelande | CMA_0324 – Implementera leveransmetoder för sekretessmeddelande | Manuell, inaktiverad | 1.1.0 |
Implementera säkerhetstekniska principer för informationssystem | CMA_0325 – Implementera säkerhetstekniska principer för informationssystem | Manuell, inaktiverad | 1.1.0 |
Skapa en rapport för säkerhetsutvärdering | CMA_C1146 – Skapa en rapport om säkerhetsbedömning | Manuell, inaktiverad | 1.1.0 |
Ange sekretessmeddelande | CMA_0414 – Ange sekretessmeddelande | Manuell, inaktiverad | 1.1.0 |
Kräv att tredjepartsleverantörer följer personalsäkerhetsprinciper och -procedurer | CMA_C1530 – Kräv att tredjepartsleverantörer följer säkerhetsprinciper och procedurer för personal | Manuell, inaktiverad | 1.1.0 |
Begränsa kommunikationen | CMA_0449 – Begränsa kommunikationen | Manuell, inaktiverad | 1.1.0 |
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
Riskbedömning
COSO-princip 6
ID: SOC 2 Typ 2 CC3.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Kategorisera information | CMA_0052 – Kategorisera information | Manuell, inaktiverad | 1.1.0 |
Fastställa informationsskyddsbehov | CMA_C1750 – Fastställa informationsskyddsbehov | Manuell, inaktiverad | 1.1.0 |
Utveckla affärsklassificeringsscheman | CMA_0155 – Utveckla affärsklassificeringssystem | Manuell, inaktiverad | 1.1.0 |
Utveckla SSP som uppfyller kriterierna | CMA_C1492 – Utveckla SSP som uppfyller kriterierna | Manuell, inaktiverad | 1.1.0 |
Upprätta en riskhanteringsstrategi | CMA_0258 – Upprätta en riskhanteringsstrategi | Manuell, inaktiverad | 1.1.0 |
Utföra en riskbedömning | CMA_0388 – Utföra en riskbedömning | Manuell, inaktiverad | 1.1.0 |
Granska etikettaktivitet och analys | CMA_0474 – Granska etikettaktivitet och analys | Manuell, inaktiverad | 1.1.0 |
COSO-princip 7
ID: SOC 2 Typ 2 CC3.2 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
Kategorisera information | CMA_0052 – Kategorisera information | Manuell, inaktiverad | 1.1.0 |
Fastställa informationsskyddsbehov | CMA_C1750 – Fastställa informationsskyddsbehov | Manuell, inaktiverad | 1.1.0 |
Utveckla affärsklassificeringsscheman | CMA_0155 – Utveckla affärsklassificeringssystem | Manuell, inaktiverad | 1.1.0 |
Upprätta en riskhanteringsstrategi | CMA_0258 – Upprätta en riskhanteringsstrategi | Manuell, inaktiverad | 1.1.0 |
Utföra en riskbedömning | CMA_0388 – Utföra en riskbedömning | Manuell, inaktiverad | 1.1.0 |
Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Granska etikettaktivitet och analys | CMA_0474 – Granska etikettaktivitet och analys | Manuell, inaktiverad | 1.1.0 |
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
COSO-princip 8
ID: SOC 2 Typ 2 CC3.3 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Utföra en riskbedömning | CMA_0388 – Utföra en riskbedömning | Manuell, inaktiverad | 1.1.0 |
COSO-princip 9
ID: SOC 2 Typ 2 CC3.4 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Utvärdera risker i relationer från tredje part | CMA_0014 – Utvärdera risker i relationer från tredje part | Manuell, inaktiverad | 1.1.0 |
Definiera krav för leverans av varor och tjänster | CMA_0126 – Definiera krav för leverans av varor och tjänster | Manuell, inaktiverad | 1.1.0 |
Fastställa leverantörskontraktsförpliktelser | CMA_0140 – Fastställa leverantörskontraktsförpliktelser | Manuell, inaktiverad | 1.1.0 |
Upprätta en riskhanteringsstrategi | CMA_0258 – Upprätta en riskhanteringsstrategi | Manuell, inaktiverad | 1.1.0 |
Upprätta principer för riskhantering i leveranskedjan | CMA_0275 – Upprätta principer för riskhantering i leveranskedjan | Manuell, inaktiverad | 1.1.0 |
Utföra en riskbedömning | CMA_0388 – Utföra en riskbedömning | Manuell, inaktiverad | 1.1.0 |
Övervakningsaktiviteter
COSO-princip 16
ID: SOC 2 Typ 2 CC4.1 Ägarskap: Delat
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Utvärdera säkerhetskontroller | CMA_C1145 – Utvärdera säkerhetskontroller | Manuell, inaktiverad | 1.1.0 |
Utveckla en plan för säkerhetsbedömning | CMA_C1144 – Utveckla en plan för säkerhetsbedömning | Manuell, inaktiverad | 1.1.0 |
Välj ytterligare testning för utvärderingar av säkerhetskontroll | CMA_C1149 – Välj ytterligare testning för säkerhetskontrollutvärderingar | Manuell, inaktiverad | 1.1.0 |
COSO-princip 17
ID: SOC 2 Typ 2 CC4.2 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Leverera resultat från säkerhetsutvärdering | CMA_C1147 – Leverera resultat för säkerhetsutvärdering | Manuell, inaktiverad | 1.1.0 |
Skapa en rapport för säkerhetsutvärdering | CMA_C1146 – Skapa en rapport om säkerhetsbedömning | Manuell, inaktiverad | 1.1.0 |
Kontrollaktiviteter
COSO-princip 10
ID: SOC 2 Typ 2 CC5.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Upprätta en riskhanteringsstrategi | CMA_0258 – Upprätta en riskhanteringsstrategi | Manuell, inaktiverad | 1.1.0 |
Utföra en riskbedömning | CMA_0388 – Utföra en riskbedömning | Manuell, inaktiverad | 1.1.0 |
COSO-princip 11
ID: SOC 2 Typ 2 CC5.2 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
Utforma en åtkomstkontrollmodell | CMA_0129 – Utforma en åtkomstkontrollmodell | Manuell, inaktiverad | 1.1.0 |
Fastställa leverantörskontraktsförpliktelser | CMA_0140 – Fastställa leverantörskontraktsförpliktelser | Manuell, inaktiverad | 1.1.0 |
Kriterier för godkännande av dokumentförvärvskontrakt | CMA_0187 – Kriterier för godkännande av dokumentförvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentskydd av personuppgifter i förvärvsavtal | CMA_0194 – Dokumentskydd av personuppgifter i förvärvsavtal | Manuell, inaktiverad | 1.1.0 |
Dokumentera skydd av säkerhetsinformation i förvärvsavtal | CMA_0195 – Dokumentskydd av säkerhetsinformation i förvärvsavtal | Manuell, inaktiverad | 1.1.0 |
Dokumentkrav för användning av delade data i kontrakt | CMA_0197 – Dokumentkrav för användning av delade data i kontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera säkerhetskrav i förvärvskontrakt | CMA_0199 – Dokumentera säkerhetskrav i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentsäkerhetsdokumentationskrav i förvärvskontrakt | CMA_0200 – Dokumentera krav på säkerhetsdokumentation i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera funktionskrav för säkerhet i förvärvskontrakt | CMA_0201 – Dokumentera säkerhetsfunktionskrav i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera krav på säkerhetsstyrka i förvärvskontrakt | CMA_0203 – Dokumentera krav på säkerhetsstyrka i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera informationssystemmiljön i förvärvskontrakt | CMA_0205 – Dokumentera informationssystemmiljön i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera skyddet av korthållardata i kontrakt från tredje part | CMA_0207 – Dokumentera skyddet av korthållardata i tredjepartskontrakt | Manuell, inaktiverad | 1.1.0 |
Använda åtkomst med minst behörighet | CMA_0212 – Använda åtkomst med minst behörighet | Manuell, inaktiverad | 1.1.0 |
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
Utföra en riskbedömning | CMA_0388 – Utföra en riskbedömning | Manuell, inaktiverad | 1.1.0 |
Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
COSO-princip 12
ID: SOC 2 Typ 2 CC5.3 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Konfigurera vitlista för identifiering | CMA_0068 – Konfigurera vitlista för identifiering | Manuell, inaktiverad | 1.1.0 |
Utföra en riskbedömning | CMA_0388 – Utföra en riskbedömning | Manuell, inaktiverad | 1.1.0 |
Aktivera sensorer för slutpunktssäkerhetslösning | CMA_0514 – Aktivera sensorer för slutpunktssäkerhetslösning | Manuell, inaktiverad | 1.1.0 |
Genomgå oberoende säkerhetsgranskning | CMA_0515 – Genomgå oberoende säkerhetsgranskning | Manuell, inaktiverad | 1.1.0 |
Logiska och fysiska åtkomstkontroller
Programvara, infrastruktur och arkitekturer för logisk åtkomstsäkerhet
ID: SOC 2 Typ 2 CC6.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
App Service-appar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
Autentisering till Linux-datorer bör kräva SSH-nycklar | Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, inaktiverad | 3.2.0 |
Auktorisera åtkomst till säkerhetsfunktioner och information | CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information | Manuell, inaktiverad | 1.1.0 |
Auktorisera och hantera åtkomst | CMA_0023 – Auktorisera och hantera åtkomst | Manuell, inaktiverad | 1.1.0 |
Auktorisera fjärråtkomst | CMA_0024 – Auktorisera fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
Automation-kontovariabler ska krypteras | Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras | Granska, neka, inaktiverad | 1.1.0 |
Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) | Att använda kundhanterade nycklar för att kryptera vilande data ger mer kontroll över nyckellivscykeln, inklusive rotation och hantering. Detta är särskilt relevant för organisationer med relaterade efterlevnadskrav. Detta utvärderas inte som standard och bör endast tillämpas när det krävs av efterlevnads- eller begränsande principkrav. Om de inte är aktiverade krypteras data med plattformshanterade nycklar. Om du vill implementera detta uppdaterar du parametern "Effekt" i säkerhetsprincipen för det tillämpliga omfånget. | Granska, neka, inaktiverad | 2.2.0 |
Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel | Hantera kryptering i resten av Azure Machine Learning-arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk. | Granska, neka, inaktiverad | 1.1.0 |
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
Certifikaten ska ha den angivna maximala giltighetsperioden | Hantera organisationens efterlevnadskrav genom att ange den maximala tid som ett certifikat kan vara giltigt i ditt nyckelvalv. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
Containerregister ska krypteras med en kundhanterad nyckel | Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK. | Granska, neka, inaktiverad | 1.1.2 |
Kontrollera informationsflödet | CMA_0079 – Kontrollera informationsflödet | Manuell, inaktiverad | 1.1.0 |
Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
Skapa en datainventering | CMA_0096 – Skapa en datainventering | Manuell, inaktiverad | 1.1.0 |
Definiera en process för hantering av fysiska nycklar | CMA_0115 – Definiera en process för hantering av fysiska nycklar | Manuell, inaktiverad | 1.1.0 |
Definiera kryptografisk användning | CMA_0120 – Definiera kryptografisk användning | Manuell, inaktiverad | 1.1.0 |
Definiera organisationens krav för hantering av kryptografiska nycklar | CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
Utforma en åtkomstkontrollmodell | CMA_0129 – Utforma en åtkomstkontrollmodell | Manuell, inaktiverad | 1.1.0 |
Fastställa krav för försäkran | CMA_0136 – Fastställa kontrollkrav | Manuell, inaktiverad | 1.1.0 |
Dokumentera mobilitetsträning | CMA_0191 – Utbildning i dokumentmobilitet | Manuell, inaktiverad | 1.1.0 |
Dokumentera riktlinjer för fjärråtkomst | CMA_0196 – Dokumentera riktlinjer för fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
Använda flödeskontrollmekanismer för krypterad information | CMA_0211 – Använda flödeskontrollmekanismer för krypterad information | Manuell, inaktiverad | 1.1.0 |
Använda åtkomst med minst behörighet | CMA_0212 – Använda åtkomst med minst behörighet | Manuell, inaktiverad | 1.1.0 |
Framtvinga logisk åtkomst | CMA_0245 – Framtvinga logisk åtkomst | Manuell, inaktiverad | 1.1.0 |
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll | Manuell, inaktiverad | 1.1.0 |
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
Upprätta en procedur för hantering av dataläckage | CMA_0255 – Upprätta en procedur för hantering av dataläckage | Manuell, inaktiverad | 1.1.0 |
Upprätta konfigurationsstandarder för brandvägg och router | CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router | Manuell, inaktiverad | 1.1.0 |
Upprätta nätverkssegmentering för kortinnehavarens datamiljö | CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö | Manuell, inaktiverad | 1.1.0 |
Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
Funktionsappar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
Identifiera och hantera informationsutbyten i underordnade led | CMA_0298 – Identifiera och hantera informationsutbyten i nedströms | Manuell, inaktiverad | 1.1.0 |
Implementera kontroller för att skydda alternativa arbetsplatser | CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser | Manuell, inaktiverad | 1.1.0 |
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden | Manuell, inaktiverad | 1.1.0 |
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
Utfärda certifikat för offentlig nyckel | CMA_0347 – Utfärda certifikat för offentlig nyckel | Manuell, inaktiverad | 1.1.0 |
Key Vault-nycklar bör ha ett utgångsdatum | Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. | Granska, neka, inaktiverad | 1.0.2 |
Key Vault-hemligheter bör ha ett utgångsdatum | Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter. | Granska, neka, inaktiverad | 1.0.2 |
Nyckelvalv bör ha borttagningsskydd aktiverat | Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. | Granska, neka, inaktiverad | 2.1.0 |
Nyckelvalv bör ha mjuk borttagning aktiverat | Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. | Granska, neka, inaktiverad | 3.0.0 |
Kubernetes-kluster bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 8.2.0 |
Upprätthålla register över bearbetning av personuppgifter | CMA_0353 – Upprätthålla register över bearbetning av personuppgifter | Manuell, inaktiverad | 1.1.0 |
Hantera symmetriska kryptografiska nycklar | CMA_0367 – Hantera symmetriska kryptografiska nycklar | Manuell, inaktiverad | 1.1.0 |
Hantera indata, utdata, bearbetning och lagring av data | CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data | Manuell, inaktiverad | 1.1.0 |
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, inaktiverad | 3.0.0 |
MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen på resten av mySQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. | AuditIfNotExists, inaktiverad | 1.0.4 |
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
Meddela användare om systeminloggning eller åtkomst | CMA_0382 – Meddela användare om systeminloggning eller åtkomst | Manuell, inaktiverad | 1.1.0 |
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Använd kundhanterade nycklar för att hantera krypteringen på resten av postgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. | AuditIfNotExists, inaktiverad | 1.0.4 |
Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
Skydda särskild information | CMA_0409 – Skydda särskild information | Manuell, inaktiverad | 1.1.0 |
Tillhandahålla sekretessutbildning | CMA_0415 – Tillhandahålla sekretessutbildning | Manuell, inaktiverad | 1.1.0 |
Kräv godkännande för att skapa konto | CMA_0431 – Kräv godkännande för att skapa konto | Manuell, inaktiverad | 1.1.0 |
Begränsa åtkomsten till privata nycklar | CMA_0445 – Begränsa åtkomsten till privata nycklar | Manuell, inaktiverad | 1.1.0 |
Granska användargrupper och program med åtkomst till känsliga data | CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data | Manuell, inaktiverad | 1.1.0 |
Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign | Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för kommunikation från nod till nod med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt | Granska, neka, inaktiverad | 1.1.0 |
SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data | Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.0 |
SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data | Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. | Granska, neka, inaktiverad | 2.0.1 |
Lagringskonto som innehåller containern med aktivitetsloggar måste krypteras med BYOK | Den här principen granskar om lagringskontot som innehåller containern med aktivitetsloggar krypteras med BYOK. Principen fungerar bara om lagringskontot finns i samma prenumeration som aktivitetsloggar avsiktligt. Mer information om Azure Storage-kryptering i vila finns här https://aka.ms/azurestoragebyok. | AuditIfNotExists, inaktiverad | 1.0.0 |
Lagringskonton bör använda kundhanterad nyckel för kryptering | Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. | Granskning, inaktiverad | 1.0.3 |
Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
transparent datakryptering på SQL-databaser ska vara aktiverat | Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven | AuditIfNotExists, inaktiverad | 2.0.0 |
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
Åtkomstetablering och borttagning
ID: SOC 2 Typ 2 CC6.2 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Tilldela kontoansvariga | CMA_0015 – Tilldela kontoansvariga | Manuell, inaktiverad | 1.1.0 |
Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort | Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
Behörigheter för dokumentåtkomst | CMA_0186 – Behörigheter för dokumentåtkomst | Manuell, inaktiverad | 1.1.0 |
Upprätta villkor för rollmedlemskap | CMA_0269 – Upprätta villkor för rollmedlemskap | Manuell, inaktiverad | 1.1.0 |
Gästkonton med läsbehörighet för Azure-resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
Kräv godkännande för att skapa konto | CMA_0431 – Kräv godkännande för att skapa konto | Manuell, inaktiverad | 1.1.0 |
Begränsa åtkomsten till privilegierade konton | CMA_0446 – Begränsa åtkomsten till privilegierade konton | Manuell, inaktiverad | 1.1.0 |
Granska kontoetableringsloggar | CMA_0460 – Granska kontoetableringsloggar | Manuell, inaktiverad | 1.1.0 |
Granska användarkonton | CMA_0480 – Granska användarkonton | Manuell, inaktiverad | 1.1.0 |
Rol-baserad åtkomst och minsta behörighet
ID: SOC 2 Typ 2 CC6.3 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Högst 3 ägare bör utses för din prenumeration | Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. | AuditIfNotExists, inaktiverad | 3.0.0 |
Granska privilegierade funktioner | CMA_0019 – Granska privilegierade funktioner | Manuell, inaktiverad | 1.1.0 |
Granska användningen av anpassade RBAC-roller | Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering | Granskning, inaktiverad | 1.0.1 |
Granska användarkontostatus | CMA_0020 – Granska användarkontostatus | Manuell, inaktiverad | 1.1.0 |
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort | Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort | Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. | AuditIfNotExists, inaktiverad | 1.0.0 |
Utforma en åtkomstkontrollmodell | CMA_0129 – Utforma en åtkomstkontrollmodell | Manuell, inaktiverad | 1.1.0 |
Använda åtkomst med minst behörighet | CMA_0212 – Använda åtkomst med minst behörighet | Manuell, inaktiverad | 1.1.0 |
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort | Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
Gästkonton med läsbehörighet för Azure-resurser bör tas bort | Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort | Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. | AuditIfNotExists, inaktiverad | 1.0.0 |
Övervaka privilegierad rolltilldelning | CMA_0378 – Övervaka privilegierad rolltilldelning | Manuell, inaktiverad | 1.1.0 |
Begränsa åtkomsten till privilegierade konton | CMA_0446 – Begränsa åtkomsten till privilegierade konton | Manuell, inaktiverad | 1.1.0 |
Granska kontoetableringsloggar | CMA_0460 – Granska kontoetableringsloggar | Manuell, inaktiverad | 1.1.0 |
Granska användarkonton | CMA_0480 – Granska användarkonton | Manuell, inaktiverad | 1.1.0 |
Granska användarbehörigheter | CMA_C1039 – Granska användarbehörigheter | Manuell, inaktiverad | 1.1.0 |
Återkalla privilegierade roller efter behov | CMA_0483 – Återkalla privilegierade roller efter behov | Manuell, inaktiverad | 1.1.0 |
Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services | Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du rollbaserad åtkomstkontroll (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. | Granskning, inaktiverad | 1.0.4 |
Det bör finnas fler än en ägare tilldelad till din prenumeration | Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. | AuditIfNotExists, inaktiverad | 3.0.0 |
Använda privilegierad identitetshantering | CMA_0533 – Använda privilegierad identitetshantering | Manuell, inaktiverad | 1.1.0 |
Begränsad fysisk åtkomst
ID: SOC 2 Typ 2 CC6.4 Ägarskap: Delat
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
Logiskt och fysiskt skydd över fysiska tillgångar
ID: SOC 2 Typ 2 CC6.5 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Använda en mekanism för mediesanering | CMA_0208 – Använda en mekanism för mediesanering | Manuell, inaktiverad | 1.1.0 |
Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
Säkerhetsåtgärder mot hot utanför systemgränser
ID: SOC 2 Typ 2 CC6.6 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall | Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds | AuditIfNotExists, inaktiverad | 3.0.0-preview |
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade | Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. | AuditIfNotExists, inaktiverad | 1.0.0 |
Använda mekanismer för biometrisk autentisering | CMA_0005 – Använda mekanismer för biometrisk autentisering | Manuell, inaktiverad | 1.1.0 |
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
App Service-appar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
Autentisering till Linux-datorer bör kräva SSH-nycklar | Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, inaktiverad | 3.2.0 |
Auktorisera fjärråtkomst | CMA_0024 – Auktorisera fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 1.0.2 |
Kontrollera informationsflödet | CMA_0079 – Kontrollera informationsflödet | Manuell, inaktiverad | 1.1.0 |
Dokumentera mobilitetsträning | CMA_0191 – Utbildning i dokumentmobilitet | Manuell, inaktiverad | 1.1.0 |
Dokumentera riktlinjer för fjärråtkomst | CMA_0196 – Dokumentera riktlinjer för fjärråtkomst | Manuell, inaktiverad | 1.1.0 |
Använda flödeskontrollmekanismer för krypterad information | CMA_0211 – Använda flödeskontrollmekanismer för krypterad information | Manuell, inaktiverad | 1.1.0 |
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
Upprätta konfigurationsstandarder för brandvägg och router | CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router | Manuell, inaktiverad | 1.1.0 |
Upprätta nätverkssegmentering för kortinnehavarens datamiljö | CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö | Manuell, inaktiverad | 1.1.0 |
Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
Funktionsappar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
Identifiera och autentisera nätverksenheter | CMA_0296 – Identifiera och autentisera nätverksenheter | Manuell, inaktiverad | 1.1.0 |
Identifiera och hantera informationsutbyten i underordnade led | CMA_0298 – Identifiera och hantera informationsutbyten i nedströms | Manuell, inaktiverad | 1.1.0 |
Implementera kontroller för att skydda alternativa arbetsplatser | CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser | Manuell, inaktiverad | 1.1.0 |
Implementera systemgränsskydd | CMA_0328 – Implementera systemgränsskydd | Manuell, inaktiverad | 1.1.0 |
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
IP-vidarebefordran på den virtuella datorn bör inaktiveras | Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. | AuditIfNotExists, inaktiverad | 3.0.0 |
Kubernetes-kluster bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 8.2.0 |
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, inaktiverad | 3.0.0 |
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
Meddela användare om systeminloggning eller åtkomst | CMA_0382 – Meddela användare om systeminloggning eller åtkomst | Manuell, inaktiverad | 1.1.0 |
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
Tillhandahålla sekretessutbildning | CMA_0415 – Tillhandahålla sekretessutbildning | Manuell, inaktiverad | 1.1.0 |
Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway | Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. | Granska, neka, inaktiverad | 2.0.0 |
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
Begränsa förflyttning av information till behöriga användare
ID: SOC 2 Typ 2 CC6.7 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn | Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. | AuditIfNotExists, inaktiverad | 3.0.0 |
App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
App Service-appar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
Konfigurera arbetsstationer för att söka efter digitala certifikat | CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat | Manuell, inaktiverad | 1.1.0 |
Kontrollera informationsflödet | CMA_0079 – Kontrollera informationsflödet | Manuell, inaktiverad | 1.1.0 |
Definiera krav för mobila enheter | CMA_0122 – Definiera krav för mobila enheter | Manuell, inaktiverad | 1.1.0 |
Använda en mekanism för mediesanering | CMA_0208 – Använda en mekanism för mediesanering | Manuell, inaktiverad | 1.1.0 |
Använda flödeskontrollmekanismer för krypterad information | CMA_0211 – Använda flödeskontrollmekanismer för krypterad information | Manuell, inaktiverad | 1.1.0 |
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar | Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar | Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. | Granskning, inaktiverad | 1.0.1 |
Upprätta konfigurationsstandarder för brandvägg och router | CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router | Manuell, inaktiverad | 1.1.0 |
Upprätta nätverkssegmentering för kortinnehavarens datamiljö | CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö | Manuell, inaktiverad | 1.1.0 |
Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
Funktionsappar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
Identifiera och hantera informationsutbyten i underordnade led | CMA_0298 – Identifiera och hantera informationsutbyten i nedströms | Manuell, inaktiverad | 1.1.0 |
Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
Kubernetes-kluster bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc | audit, Audit, deny, Deny, disabled, Disabled | 8.2.0 |
Hantera transport av tillgångar | CMA_0370 – Hantera transport av tillgångar | Manuell, inaktiverad | 1.1.0 |
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk | Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer | AuditIfNotExists, inaktiverad | 3.0.0 |
Hanteringsportar bör stängas på dina virtuella datorer | Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. | AuditIfNotExists, inaktiverad | 3.0.0 |
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper | Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc | AuditIfNotExists, inaktiverad | 3.0.0 |
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade | Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 1.0.0 |
Skydda data under överföring med hjälp av kryptering | CMA_0403 – Skydda data under överföring med kryptering | Manuell, inaktiverad | 1.1.0 |
Skydda lösenord med kryptering | CMA_0408 – Skydda lösenord med kryptering | Manuell, inaktiverad | 1.1.0 |
Säker överföring till lagringskonton ska vara aktiverad | Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning | Granska, neka, inaktiverad | 2.0.0 |
Undernät ska associeras med en nätverkssäkerhetsgrupp | Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. | AuditIfNotExists, inaktiverad | 3.0.0 |
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll | För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. | AuditIfNotExists, inaktiverad | 4.1.1 |
Förhindra eller identifiera mot obehörig eller skadlig programvara
ID: SOC 2 Typ 2 CC6.8 Ägarskap: Delat
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
[Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat. | Granskning, inaktiverad | 3.1.0-inaktuell |
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds | Installera gästattesteringstillägget på virtuella Linux-datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda starta och konfidentiella virtuella Linux-datorer. | AuditIfNotExists, inaktiverad | 6.0.0-preview |
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds | Installera gästattesteringstillägget på linux-skalningsuppsättningar som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för vm-skalningsuppsättningar för betrodd start och konfidentiell Linux. | AuditIfNotExists, inaktiverad | 5.1.0-preview |
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds | Installera gästattesteringstillägget på virtuella datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt. | AuditIfNotExists, inaktiverad | 4.0.0-preview |
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds | Installera gästattesteringstillägget på skalningsuppsättningar som stöds för virtuella datorer så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda start- och konfidentiella skalningsuppsättningar för virtuella Windows-datorer. | AuditIfNotExists, inaktiverad | 3.1.0-preview |
[Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds | Aktivera säker start på virtuella Windows-datorer som stöds för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt. | Granskning, inaktiverad | 4.0.0-preview |
[Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds | Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer. | Granskning, inaktiverad | 2.0.0-preview |
App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
App Service-appar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
Granska virtuella datorer som inte använder hanterade diskar | Den här principen granskar virtuella datorer som inte använder hanterade diskar | granska | 1.0.0 |
Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat | Azure Policy-tillägget för Azure Arc tillhandahåller skalbara tillämpningsåtgärder och skydd på dina Arc-aktiverade Kubernetes-kluster på ett centraliserat och konsekvent sätt. Läs mer på https://aka.ms/akspolicydoc. | AuditIfNotExists, inaktiverad | 1.1.0 |
Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster | Azure Policy-tillägget för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. | Granskning, inaktiverad | 1.0.2 |
Blockera ej betrodda och osignerade processer som körs från USB | CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB | Manuell, inaktiverad | 1.1.0 |
Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
Funktionsappar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.3 |
Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.3.0 |
Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde | Blockera poddcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.2.0 |
Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler | Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.3.0 |
Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem | Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.3.0 |
Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar | Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er | Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.2.0 |
Kubernetes-kluster bör inte tillåta privilegierade containrar | Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter | Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.2.0 |
Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier | Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.2.0 |
Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner | Begränsa CAP_SYS_ADMIN Linux-funktioner för att minska angreppsytan för dina containrar. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
Kubernetes-kluster bör inte använda standardnamnområdet | Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.2.0 |
Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 2.2.0 |
Hantera gatewayer | CMA_0363 – Hantera gatewayer | Manuell, inaktiverad | 1.1.0 |
Endast godkända VM-tillägg ska installeras | Den här principen styr de tillägg för virtuella datorer som inte är godkända. | Granska, neka, inaktiverad | 1.0.0 |
Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
Granska rapporten om identifiering av skadlig kod varje vecka | CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka | Manuell, inaktiverad | 1.1.0 |
Granska hotskyddsstatus varje vecka | CMA_0479 – Granska hotskyddsstatus varje vecka | Manuell, inaktiverad | 1.1.0 |
Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster | Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. | Granska, neka, inaktiverad | 1.0.0 |
Uppdatera antivirusdefinitioner | CMA_0517 – Uppdatera antivirusdefinitioner | Manuell, inaktiverad | 1.1.0 |
Verifiera programvara, inbyggd programvara och informationsintegritet | CMA_0542 – Verifiera programvara, inbyggd programvara och informationsintegritet | Manuell, inaktiverad | 1.1.0 |
Visa och konfigurera systemdiagnostikdata | CMA_0544 – Visa och konfigurera systemdiagnostikdata | Manuell, inaktiverad | 1.1.0 |
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 2.0.0 |
Systemåtgärder
Identifiering och övervakning av nya säkerhetsrisker
ID: SOC 2 Typ 2 CC7.1 Ägarskap: Delat
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer | Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. | AuditIfNotExists, inaktiverad | 3.0.0 |
Konfigurera åtgärder för inkompatibla enheter | CMA_0062 – Konfigurera åtgärder för inkompatibla enheter | Manuell, inaktiverad | 1.1.0 |
Utveckla och underhålla baslinjekonfigurationer | CMA_0153 – Utveckla och underhålla baslinjekonfigurationer | Manuell, inaktiverad | 1.1.0 |
Aktivera identifiering av nätverksenheter | CMA_0220 – Aktivera identifiering av nätverksenheter | Manuell, inaktiverad | 1.1.0 |
Framtvinga inställningar för säkerhetskonfiguration | CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration | Manuell, inaktiverad | 1.1.0 |
Upprätta en kontrolltavla för konfiguration | CMA_0254 – Upprätta en kontrolltavla för konfiguration | Manuell, inaktiverad | 1.1.0 |
Upprätta och dokumentera en konfigurationshanteringsplan | CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan | Manuell, inaktiverad | 1.1.0 |
Implementera ett automatiserat konfigurationshanteringsverktyg | CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg | Manuell, inaktiverad | 1.1.0 |
Utföra sårbarhetsgenomsökningar | CMA_0393 – Utföra sårbarhetsgenomsökningar | Manuell, inaktiverad | 1.1.0 |
Åtgärda fel i informationssystemet | CMA_0427 – Åtgärda fel i informationssystemet | Manuell, inaktiverad | 1.1.0 |
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation | Manuell, inaktiverad | 1.1.0 |
Verifiera programvara, inbyggd programvara och informationsintegritet | CMA_0542 – Verifiera programvara, inbyggd programvara och informationsintegritet | Manuell, inaktiverad | 1.1.0 |
Visa och konfigurera systemdiagnostikdata | CMA_0544 – Visa och konfigurera systemdiagnostikdata | Manuell, inaktiverad | 1.1.0 |
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance | Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 1.0.1 |
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar | Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. | AuditIfNotExists, inaktiverad | 3.0.0 |
Övervaka systemkomponenter för avvikande beteende
ID: SOC 2 Typ 2 CC7.2 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat | Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, inaktiverad | 6.0.0-preview |
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder | Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. | AuditIfNotExists, inaktiverad | 1.0.0 |
En aktivitetsloggavisering bör finnas för specifika principåtgärder | Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 3.0.0 |
En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder | Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. | AuditIfNotExists, inaktiverad | 1.0.0 |
Azure Defender för App Service ska vara aktiverat | Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. | AuditIfNotExists, inaktiverad | 1.0.3 |
Azure Defender för Azure SQL Database-servrar ska vara aktiverade | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
Azure Defender för Key Vault ska vara aktiverat | Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. | AuditIfNotExists, inaktiverad | 1.0.3 |
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat | Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center | AuditIfNotExists, inaktiverad | 1.0.0 |
Azure Defender för Resource Manager ska vara aktiverat | Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . | AuditIfNotExists, inaktiverad | 1.0.0 |
Azure Defender för servrar ska vara aktiverat | Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. | AuditIfNotExists, inaktiverad | 1.0.3 |
Azure Defender för SQL-servrar på datorer ska vara aktiverat | Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. | AuditIfNotExists, inaktiverad | 1.0.2 |
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar | Granska SQL-servrar utan Advanced Data Security | AuditIfNotExists, inaktiverad | 2.0.1 |
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances | Granska varje SQL Managed Instance utan avancerad datasäkerhet. | AuditIfNotExists, inaktiverad | 1.0.2 |
Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad | Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.AzureDefender i ditt Azure Kubernetes Service-kluster distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer om Microsoft Defender för containrar i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Granskning, inaktiverad | 2.0.1 |
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts | Manuell, inaktiverad | 1.1.0 |
Styra och övervaka granskningsbearbetningsaktiviteter | CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter | Manuell, inaktiverad | 1.1.0 |
Microsoft Defender för containrar ska vara aktiverat | Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. | AuditIfNotExists, inaktiverad | 1.0.0 |
Microsoft Defender för Storage ska vara aktiverat | Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. | AuditIfNotExists, inaktiverad | 1.0.0 |
Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
Windows Defender Exploit Guard ska vara aktiverat på dina datorer | Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). | AuditIfNotExists, inaktiverad | 2.0.0 |
Identifiering av säkerhetsincidenter
ID: SOC 2 Typ 2 CC7.3 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Granska och uppdatera principer och procedurer för incidenthantering | CMA_C1352 – Granska och uppdatera principer och procedurer för incidenthantering | Manuell, inaktiverad | 1.1.0 |
Svar på säkerhetsincidenter
ID: SOC 2 Typ 2 CC7.4 Ägarskap: Delat
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Utvärdera informationssäkerhetshändelser | CMA_0013 – Utvärdera informationssäkerhetshändelser | Manuell, inaktiverad | 1.1.0 |
Samordna beredskapsplaner med relaterade planer | CMA_0086 – Samordna beredskapsplaner med relaterade planer | Manuell, inaktiverad | 1.1.0 |
Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
Utveckla säkerhetsskydd | CMA_0161 – Utveckla säkerhetsskydd | Manuell, inaktiverad | 1.1.0 |
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.2.0 |
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.1.0 |
Aktivera nätverksskydd | CMA_0238 – Aktivera nätverksskydd | Manuell, inaktiverad | 1.1.0 |
Utrota kontaminerad information | CMA_0253 – Utrota kontaminerad information | Manuell, inaktiverad | 1.1.0 |
Köra åtgärder som svar på informationsutsläpp | CMA_0281 – Köra åtgärder som svar på informationsutsläpp | Manuell, inaktiverad | 1.1.0 |
Identifiera klasser av incidenter och åtgärder som vidtas | CMA_C1365 – Identifiera klasser av incidenter och åtgärder som vidtas | Manuell, inaktiverad | 1.1.0 |
Implementera incidenthantering | CMA_0318 – Implementera incidenthantering | Manuell, inaktiverad | 1.1.0 |
Inkludera dynamisk omkonfiguration av kunddistribuerade resurser | CMA_C1364 – Inkludera dynamisk omkonfiguration av kunddistribuerade resurser | Manuell, inaktiverad | 1.1.0 |
Underhålla en plan för incidenthantering | CMA_0352 – Underhålla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
Visa och undersöka begränsade användare | CMA_0545 – Visa och undersöka begränsade användare | Manuell, inaktiverad | 1.1.0 |
Återställning från identifierade säkerhetsincidenter
ID: SOC 2 Typ 2 CC7.5 Ägarskap: Delat
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Utvärdera informationssäkerhetshändelser | CMA_0013 – Utvärdera informationssäkerhetshändelser | Manuell, inaktiverad | 1.1.0 |
Utföra incidenthanteringstestning | CMA_0060 – Utföra incidenthanteringstestning | Manuell, inaktiverad | 1.1.0 |
Samordna beredskapsplaner med relaterade planer | CMA_0086 – Samordna beredskapsplaner med relaterade planer | Manuell, inaktiverad | 1.1.0 |
Samordna med externa organisationer för att uppnå ett övergripande organisationsperspektiv | CMA_C1368 – Samordna med externa organisationer för att uppnå övergripande organisationsperspektiv | Manuell, inaktiverad | 1.1.0 |
Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
Utveckla säkerhetsskydd | CMA_0161 – Utveckla säkerhetsskydd | Manuell, inaktiverad | 1.1.0 |
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat | Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. | AuditIfNotExists, inaktiverad | 1.2.0 |
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras | För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. | AuditIfNotExists, inaktiverad | 2.1.0 |
Aktivera nätverksskydd | CMA_0238 – Aktivera nätverksskydd | Manuell, inaktiverad | 1.1.0 |
Utrota kontaminerad information | CMA_0253 – Utrota kontaminerad information | Manuell, inaktiverad | 1.1.0 |
Upprätta ett informationssäkerhetsprogram | CMA_0263 – Upprätta ett informationssäkerhetsprogram | Manuell, inaktiverad | 1.1.0 |
Köra åtgärder som svar på informationsutsläpp | CMA_0281 – Köra åtgärder som svar på informationsutsläpp | Manuell, inaktiverad | 1.1.0 |
Implementera incidenthantering | CMA_0318 – Implementera incidenthantering | Manuell, inaktiverad | 1.1.0 |
Underhålla en plan för incidenthantering | CMA_0352 – Underhålla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
Network Watcher ska vara aktiverat | Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. | AuditIfNotExists, inaktiverad | 3.0.0 |
Utföra en trendanalys av hot | CMA_0389 – Utföra en trendanalys av hot | Manuell, inaktiverad | 1.1.0 |
Köra simuleringsattacker | CMA_0486 – Köra simuleringsattacker | Manuell, inaktiverad | 1.1.0 |
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem | För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. | AuditIfNotExists, inaktiverad | 1.0.1 |
Visa och undersöka begränsade användare | CMA_0545 – Visa och undersöka begränsade användare | Manuell, inaktiverad | 1.1.0 |
Ändringshantering
Ändringar i infrastruktur, data och programvara
ID: SOC 2 Typ 2 CC8.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
[Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat. | Granskning, inaktiverad | 3.1.0-inaktuell |
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds | Installera gästattesteringstillägget på virtuella Linux-datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda starta och konfidentiella virtuella Linux-datorer. | AuditIfNotExists, inaktiverad | 6.0.0-preview |
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds | Installera gästattesteringstillägget på linux-skalningsuppsättningar som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för vm-skalningsuppsättningar för betrodd start och konfidentiell Linux. | AuditIfNotExists, inaktiverad | 5.1.0-preview |
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds | Installera gästattesteringstillägget på virtuella datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt. | AuditIfNotExists, inaktiverad | 4.0.0-preview |
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds | Installera gästattesteringstillägget på skalningsuppsättningar som stöds för virtuella datorer så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda start- och konfidentiella skalningsuppsättningar för virtuella Windows-datorer. | AuditIfNotExists, inaktiverad | 3.1.0-preview |
[Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds | Aktivera säker start på virtuella Windows-datorer som stöds för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt. | Granskning, inaktiverad | 4.0.0-preview |
[Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds | Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer. | Granskning, inaktiverad | 2.0.0-preview |
App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
App Service-appar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
Granska virtuella datorer som inte använder hanterade diskar | Den här principen granskar virtuella datorer som inte använder hanterade diskar | granska | 1.0.0 |
Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat | Azure Policy-tillägget för Azure Arc tillhandahåller skalbara tillämpningsåtgärder och skydd på dina Arc-aktiverade Kubernetes-kluster på ett centraliserat och konsekvent sätt. Läs mer på https://aka.ms/akspolicydoc. | AuditIfNotExists, inaktiverad | 1.1.0 |
Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster | Azure Policy-tillägget för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. | Granskning, inaktiverad | 1.0.2 |
Utföra en analys av säkerhetspåverkan | CMA_0057 – Utföra en analys av säkerhetspåverkan | Manuell, inaktiverad | 1.1.0 |
Konfigurera åtgärder för inkompatibla enheter | CMA_0062 – Konfigurera åtgärder för inkompatibla enheter | Manuell, inaktiverad | 1.1.0 |
Utveckla och underhålla en hantering av säkerhetsrisker standard | CMA_0152 – Utveckla och underhålla en hantering av säkerhetsrisker standard | Manuell, inaktiverad | 1.1.0 |
Utveckla och underhålla baslinjekonfigurationer | CMA_0153 – Utveckla och underhålla baslinjekonfigurationer | Manuell, inaktiverad | 1.1.0 |
Framtvinga inställningar för säkerhetskonfiguration | CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration | Manuell, inaktiverad | 1.1.0 |
Upprätta en kontrolltavla för konfiguration | CMA_0254 – Upprätta en kontrolltavla för konfiguration | Manuell, inaktiverad | 1.1.0 |
Upprätta en riskhanteringsstrategi | CMA_0258 – Upprätta en riskhanteringsstrategi | Manuell, inaktiverad | 1.1.0 |
Upprätta och dokumentera en konfigurationshanteringsplan | CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan | Manuell, inaktiverad | 1.1.0 |
Upprätta och dokumentera ändringskontrollprocesser | CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser | Manuell, inaktiverad | 1.1.0 |
Upprätta konfigurationshanteringskrav för utvecklare | CMA_0270 – Upprätta konfigurationshanteringskrav för utvecklare | Manuell, inaktiverad | 1.1.0 |
Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
Funktionsappar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
Gästkonfigurationstillägget ska installeras på dina datorer | Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. | AuditIfNotExists, inaktiverad | 1.0.3 |
Implementera ett automatiserat konfigurationshanteringsverktyg | CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg | Manuell, inaktiverad | 1.1.0 |
Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna | Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.3.0 |
Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde | Blockera poddcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.2.0 |
Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler | Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Kubernetes-klustercontainrar bör endast använda tillåtna funktioner | Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar | Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.3.0 |
Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem | Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.3.0 |
Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar | Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er | Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall | Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
Kubernetes-klustertjänster bör endast lyssna på tillåtna portar | Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.2.0 |
Kubernetes-kluster bör inte tillåta privilegierade containrar | Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter | Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.2.0 |
Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier | Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.2.0 |
Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner | Begränsa CAP_SYS_ADMIN Linux-funktioner för att minska angreppsytan för dina containrar. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
Kubernetes-kluster bör inte använda standardnamnområdet | Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount. Mer information finns i https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 4.2.0 |
Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 2.2.0 |
Endast godkända VM-tillägg ska installeras | Den här principen styr de tillägg för virtuella datorer som inte är godkända. | Granska, neka, inaktiverad | 1.0.0 |
Utföra en sekretesskonsekvensbedömning | CMA_0387 – Utföra en sekretesskonsekvensbedömning | Manuell, inaktiverad | 1.1.0 |
Utföra en riskbedömning | CMA_0388 – Utföra en riskbedömning | Manuell, inaktiverad | 1.1.0 |
Utföra granskning för konfigurationsändringskontroll | CMA_0390 – Utföra granskning för konfigurationsändringskontroll | Manuell, inaktiverad | 1.1.0 |
Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster | Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. | Granska, neka, inaktiverad | 1.0.0 |
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet | Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol | AuditIfNotExists, inaktiverad | 1.0.1 |
Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen | Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. | AuditIfNotExists, inaktiverad | 2.0.0 |
Riskreducering
Riskreduceringsaktiviteter
ID: SOC 2 Typ 2 CC9.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Fastställa informationsskyddsbehov | CMA_C1750 – Fastställa informationsskyddsbehov | Manuell, inaktiverad | 1.1.0 |
Upprätta en riskhanteringsstrategi | CMA_0258 – Upprätta en riskhanteringsstrategi | Manuell, inaktiverad | 1.1.0 |
Utföra en riskbedömning | CMA_0388 – Utföra en riskbedömning | Manuell, inaktiverad | 1.1.0 |
Leverantörer och affärspartners riskhantering
ID: SOC 2 Typ 2 CC9.2 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Utvärdera risker i relationer från tredje part | CMA_0014 – Utvärdera risker i relationer från tredje part | Manuell, inaktiverad | 1.1.0 |
Definiera krav för leverans av varor och tjänster | CMA_0126 – Definiera krav för leverans av varor och tjänster | Manuell, inaktiverad | 1.1.0 |
Definiera uppgifter för processorer | CMA_0127 – Definiera uppgifter för processorer | Manuell, inaktiverad | 1.1.0 |
Fastställa leverantörskontraktsförpliktelser | CMA_0140 – Fastställa leverantörskontraktsförpliktelser | Manuell, inaktiverad | 1.1.0 |
Kriterier för godkännande av dokumentförvärvskontrakt | CMA_0187 – Kriterier för godkännande av dokumentförvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentskydd av personuppgifter i förvärvsavtal | CMA_0194 – Dokumentskydd av personuppgifter i förvärvsavtal | Manuell, inaktiverad | 1.1.0 |
Dokumentera skydd av säkerhetsinformation i förvärvsavtal | CMA_0195 – Dokumentskydd av säkerhetsinformation i förvärvsavtal | Manuell, inaktiverad | 1.1.0 |
Dokumentkrav för användning av delade data i kontrakt | CMA_0197 – Dokumentkrav för användning av delade data i kontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera säkerhetskrav i förvärvskontrakt | CMA_0199 – Dokumentera säkerhetskrav i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentsäkerhetsdokumentationskrav i förvärvskontrakt | CMA_0200 – Dokumentera krav på säkerhetsdokumentation i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera funktionskrav för säkerhet i förvärvskontrakt | CMA_0201 – Dokumentera säkerhetsfunktionskrav i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera krav på säkerhetsstyrka i förvärvskontrakt | CMA_0203 – Dokumentera krav på säkerhetsstyrka i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera informationssystemmiljön i förvärvskontrakt | CMA_0205 – Dokumentera informationssystemmiljön i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera skyddet av korthållardata i kontrakt från tredje part | CMA_0207 – Dokumentera skyddet av korthållardata i tredjepartskontrakt | Manuell, inaktiverad | 1.1.0 |
Upprätta principer för riskhantering i leveranskedjan | CMA_0275 – Upprätta principer för riskhantering i leveranskedjan | Manuell, inaktiverad | 1.1.0 |
Upprätta säkerhetskrav för personal från tredje part | CMA_C1529 – Upprätta säkerhetskrav för tredje part | Manuell, inaktiverad | 1.1.0 |
Övervaka tredjepartsleverantörsefterlevnad | CMA_C1533 – Övervaka tredjepartsleverantörsefterlevnad | Manuell, inaktiverad | 1.1.0 |
Registrera upplysningar om PII till tredje part | CMA_0422 – Registrera upplysningar om PII till tredje part | Manuell, inaktiverad | 1.1.0 |
Kräv att tredjepartsleverantörer följer personalsäkerhetsprinciper och -procedurer | CMA_C1530 – Kräv att tredjepartsleverantörer följer säkerhetsprinciper och procedurer för personal | Manuell, inaktiverad | 1.1.0 |
Utbilda personal om PII-delning och dess konsekvenser | CMA_C1871 – Utbilda personal om PII-delning och dess konsekvenser | Manuell, inaktiverad | 1.1.0 |
Ytterligare villkor för sekretess
Sekretesspolicy
ID: SOC 2 Typ 2 P1.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Dokumentera och distribuera en sekretesspolicy | CMA_0188 – Dokumentera och distribuera en sekretesspolicy | Manuell, inaktiverad | 1.1.0 |
Se till att sekretessprograminformation är offentligt tillgänglig | CMA_C1867 – Se till att sekretessprograminformation är offentligt tillgänglig | Manuell, inaktiverad | 1.1.0 |
Implementera leveransmetoder för sekretessmeddelande | CMA_0324 – Implementera leveransmetoder för sekretessmeddelande | Manuell, inaktiverad | 1.1.0 |
Ange sekretessmeddelande | CMA_0414 – Ange sekretessmeddelande | Manuell, inaktiverad | 1.1.0 |
Lämna sekretessmeddelande till allmänheten och till enskilda användare | CMA_C1861 – Ge sekretessmeddelande till allmänheten och enskilda personer | Manuell, inaktiverad | 1.1.0 |
Sekretessmedgivande
ID: SOC 2 Typ 2 P2.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Dokumentera personalens godkännande av sekretesskrav | CMA_0193 – Dokumentera personalens godkännande av sekretesskrav | Manuell, inaktiverad | 1.1.0 |
Implementera leveransmetoder för sekretessmeddelande | CMA_0324 – Implementera leveransmetoder för sekretessmeddelande | Manuell, inaktiverad | 1.1.0 |
Få medgivande innan personuppgifter samlas in eller bearbetas | CMA_0385 – Få medgivande innan personuppgifter samlas in eller bearbetas | Manuell, inaktiverad | 1.1.0 |
Ange sekretessmeddelande | CMA_0414 – Ange sekretessmeddelande | Manuell, inaktiverad | 1.1.0 |
Konsekvent insamling av personlig information
ID: SOC 2 Typ 2 P3.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Fastställ juridisk auktoritet för att samla in PII | CMA_C1800 – Fastställa juridisk auktoritet för att samla in PII | Manuell, inaktiverad | 1.1.0 |
Dokumentprocess för att säkerställa integriteten för PII | CMA_C1827 – Dokumentprocess för att säkerställa integriteten i PII | Manuell, inaktiverad | 1.1.0 |
Utvärdera och granska PII-innehav regelbundet | CMA_C1832 – Utvärdera och granska PII-innehav regelbundet | Manuell, inaktiverad | 1.1.0 |
Få medgivande innan personuppgifter samlas in eller bearbetas | CMA_0385 – Få medgivande innan personuppgifter samlas in eller bearbetas | Manuell, inaktiverad | 1.1.0 |
Uttryckligt medgivande för personlig information
ID: SOC 2 Typ 2 P3.2 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Samla in PII direkt från individen | CMA_C1822 – Samla in PII direkt från individen | Manuell, inaktiverad | 1.1.0 |
Få medgivande innan personuppgifter samlas in eller bearbetas | CMA_0385 – Få medgivande innan personuppgifter samlas in eller bearbetas | Manuell, inaktiverad | 1.1.0 |
Användning av personlig information
ID: SOC 2 Typ 2 P4.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Dokumentera den rättsliga grunden för behandling av personuppgifter | CMA_0206 – Dokumentera den rättsliga grunden för behandling av personuppgifter | Manuell, inaktiverad | 1.1.0 |
Implementera leveransmetoder för sekretessmeddelande | CMA_0324 – Implementera leveransmetoder för sekretessmeddelande | Manuell, inaktiverad | 1.1.0 |
Få medgivande innan personuppgifter samlas in eller bearbetas | CMA_0385 – Få medgivande innan personuppgifter samlas in eller bearbetas | Manuell, inaktiverad | 1.1.0 |
Ange sekretessmeddelande | CMA_0414 – Ange sekretessmeddelande | Manuell, inaktiverad | 1.1.0 |
Begränsa kommunikationen | CMA_0449 – Begränsa kommunikationen | Manuell, inaktiverad | 1.1.0 |
Kvarhållning av personlig information
ID: SOC 2 Typ 2 P4.2 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Följ de definierade kvarhållningsperioderna | CMA_0004 – Följ de kvarhållningsperioder som definierats | Manuell, inaktiverad | 1.1.0 |
Dokumentprocess för att säkerställa integriteten för PII | CMA_C1827 – Dokumentprocess för att säkerställa integriteten i PII | Manuell, inaktiverad | 1.1.0 |
Bortskaffande av personlig information
ID: SOC 2 Typ 2 P4.3 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Utföra borttagningsgranskning | CMA_0391 – Utföra borttagningsgranskning | Manuell, inaktiverad | 1.1.0 |
Kontrollera att personliga data tas bort i slutet av bearbetningen | CMA_0540 – Kontrollera att personuppgifter tas bort i slutet av bearbetningen | Manuell, inaktiverad | 1.1.0 |
Åtkomst till personlig information
ID: SOC 2 Typ 2 P5.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Implementera metoder för konsumentbegäranden | CMA_0319 – Implementera metoder för konsumentbegäranden | Manuell, inaktiverad | 1.1.0 |
Publicera regler och förordningar med åtkomst till sekretesslagsposter | CMA_C1847 – Publicera regler och förordningar med åtkomst till sekretesslagsposter | Manuell, inaktiverad | 1.1.0 |
Korrigering av personlig information
ID: SOC 2 Typ 2 P5.2 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Svara på begäranden om korrigering | CMA_0442 – Svara på begäranden om korrigering | Manuell, inaktiverad | 1.1.0 |
Utlämnande av personuppgifter från tredje part
ID: SOC 2 Typ 2 P6.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Definiera uppgifter för processorer | CMA_0127 – Definiera uppgifter för processorer | Manuell, inaktiverad | 1.1.0 |
Fastställa leverantörskontraktsförpliktelser | CMA_0140 – Fastställa leverantörskontraktsförpliktelser | Manuell, inaktiverad | 1.1.0 |
Kriterier för godkännande av dokumentförvärvskontrakt | CMA_0187 – Kriterier för godkännande av dokumentförvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentskydd av personuppgifter i förvärvsavtal | CMA_0194 – Dokumentskydd av personuppgifter i förvärvsavtal | Manuell, inaktiverad | 1.1.0 |
Dokumentera skydd av säkerhetsinformation i förvärvsavtal | CMA_0195 – Dokumentskydd av säkerhetsinformation i förvärvsavtal | Manuell, inaktiverad | 1.1.0 |
Dokumentkrav för användning av delade data i kontrakt | CMA_0197 – Dokumentkrav för användning av delade data i kontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera säkerhetskrav i förvärvskontrakt | CMA_0199 – Dokumentera säkerhetskrav i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentsäkerhetsdokumentationskrav i förvärvskontrakt | CMA_0200 – Dokumentera krav på säkerhetsdokumentation i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera funktionskrav för säkerhet i förvärvskontrakt | CMA_0201 – Dokumentera säkerhetsfunktionskrav i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera krav på säkerhetsstyrka i förvärvskontrakt | CMA_0203 – Dokumentera krav på säkerhetsstyrka i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera informationssystemmiljön i förvärvskontrakt | CMA_0205 – Dokumentera informationssystemmiljön i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera skyddet av korthållardata i kontrakt från tredje part | CMA_0207 – Dokumentera skyddet av korthållardata i tredjepartskontrakt | Manuell, inaktiverad | 1.1.0 |
Upprätta sekretesskrav för leverantörer och tjänsteleverantörer | CMA_C1810 – Upprätta sekretesskrav för entreprenörer och tjänsteleverantörer | Manuell, inaktiverad | 1.1.0 |
Registrera upplysningar om PII till tredje part | CMA_0422 – Registrera upplysningar om PII till tredje part | Manuell, inaktiverad | 1.1.0 |
Utbilda personal om PII-delning och dess konsekvenser | CMA_C1871 – Utbilda personal om PII-delning och dess konsekvenser | Manuell, inaktiverad | 1.1.0 |
Auktoriserat utlämnande av personlig informationspost
ID: SOC 2 Typ 2 P6.2 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Hålla noggrann redovisning av upplysningar om information | CMA_C1818 – Hålla noggrann redovisning av informationsupplysningar | Manuell, inaktiverad | 1.1.0 |
Obehörigt avslöjande av personlig informationspost
ID: SOC 2 Typ 2 P6.3 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Hålla noggrann redovisning av upplysningar om information | CMA_C1818 – Hålla noggrann redovisning av informationsupplysningar | Manuell, inaktiverad | 1.1.0 |
Avtal från tredje part
ID: SOC 2 Typ 2 P6.4 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Definiera uppgifter för processorer | CMA_0127 – Definiera uppgifter för processorer | Manuell, inaktiverad | 1.1.0 |
Meddelande om obehörigt avslöjande från tredje part
ID: SOC 2 Typ 2 P6.5 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Fastställa leverantörskontraktsförpliktelser | CMA_0140 – Fastställa leverantörskontraktsförpliktelser | Manuell, inaktiverad | 1.1.0 |
Kriterier för godkännande av dokumentförvärvskontrakt | CMA_0187 – Kriterier för godkännande av dokumentförvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentskydd av personuppgifter i förvärvsavtal | CMA_0194 – Dokumentskydd av personuppgifter i förvärvsavtal | Manuell, inaktiverad | 1.1.0 |
Dokumentera skydd av säkerhetsinformation i förvärvsavtal | CMA_0195 – Dokumentskydd av säkerhetsinformation i förvärvsavtal | Manuell, inaktiverad | 1.1.0 |
Dokumentkrav för användning av delade data i kontrakt | CMA_0197 – Dokumentkrav för användning av delade data i kontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera säkerhetskrav i förvärvskontrakt | CMA_0199 – Dokumentera säkerhetskrav i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentsäkerhetsdokumentationskrav i förvärvskontrakt | CMA_0200 – Dokumentera krav på säkerhetsdokumentation i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera funktionskrav för säkerhet i förvärvskontrakt | CMA_0201 – Dokumentera säkerhetsfunktionskrav i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera krav på säkerhetsstyrka i förvärvskontrakt | CMA_0203 – Dokumentera krav på säkerhetsstyrka i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera informationssystemmiljön i förvärvskontrakt | CMA_0205 – Dokumentera informationssystemmiljön i förvärvskontrakt | Manuell, inaktiverad | 1.1.0 |
Dokumentera skyddet av korthållardata i kontrakt från tredje part | CMA_0207 – Dokumentera skyddet av korthållardata i tredjepartskontrakt | Manuell, inaktiverad | 1.1.0 |
Informationssäkerhet och skydd av personuppgifter | CMA_0332 – Informationssäkerhet och skydd av personuppgifter | Manuell, inaktiverad | 1.1.0 |
Meddelande om sekretessincident
ID: SOC 2 Typ 2 P6.6 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Utveckla en plan för incidenthantering | CMA_0145 – Utveckla en plan för incidenthantering | Manuell, inaktiverad | 1.1.0 |
Informationssäkerhet och skydd av personuppgifter | CMA_0332 – Informationssäkerhet och skydd av personuppgifter | Manuell, inaktiverad | 1.1.0 |
Redovisning av utlämnande av personuppgifter
ID: SOC 2 Typ 2 P6.7 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Implementera leveransmetoder för sekretessmeddelande | CMA_0324 – Implementera leveransmetoder för sekretessmeddelande | Manuell, inaktiverad | 1.1.0 |
Hålla noggrann redovisning av upplysningar om information | CMA_C1818 – Hålla noggrann redovisning av informationsupplysningar | Manuell, inaktiverad | 1.1.0 |
Gör redovisning av upplysningar tillgängliga på begäran | CMA_C1820 – Tillgängliggöra redovisning av upplysningar på begäran | Manuell, inaktiverad | 1.1.0 |
Ange sekretessmeddelande | CMA_0414 – Ange sekretessmeddelande | Manuell, inaktiverad | 1.1.0 |
Begränsa kommunikationen | CMA_0449 – Begränsa kommunikationen | Manuell, inaktiverad | 1.1.0 |
Kvalitet på personlig information
ID: SOC 2 Typ 2 P7.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Bekräfta kvalitet och integritet för PII | CMA_C1821 – Bekräfta kvalitet och integritet för PII | Manuell, inaktiverad | 1.1.0 |
Utfärda riktlinjer för att säkerställa datakvalitet och integritet | CMA_C1824 – Utfärda riktlinjer för att säkerställa datakvalitet och integritet | Manuell, inaktiverad | 1.1.0 |
Verifiera felaktig eller inaktuell PII | CMA_C1823 – Verifiera felaktig eller inaktuell PII | Manuell, inaktiverad | 1.1.0 |
Hantering av sekretessklagomål och efterlevnadshantering
ID: SOC 2 Typ 2 P8.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Dokumentera och implementera procedurer för sekretessklagomål | CMA_0189 – Dokumentera och implementera sekretessklagomål | Manuell, inaktiverad | 1.1.0 |
Utvärdera och granska PII-innehav regelbundet | CMA_C1832 – Utvärdera och granska PII-innehav regelbundet | Manuell, inaktiverad | 1.1.0 |
Informationssäkerhet och skydd av personuppgifter | CMA_0332 – Informationssäkerhet och skydd av personuppgifter | Manuell, inaktiverad | 1.1.0 |
Svara på klagomål, problem eller frågor i tid | CMA_C1853 – Svara på klagomål, problem eller frågor i tid | Manuell, inaktiverad | 1.1.0 |
Utbilda personal om PII-delning och dess konsekvenser | CMA_C1871 – Utbilda personal om PII-delning och dess konsekvenser | Manuell, inaktiverad | 1.1.0 |
Ytterligare kriterier för bearbetningsintegritet
Definitioner för databearbetning
ID: SOC 2 Typ 2 PI1.1 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Implementera leveransmetoder för sekretessmeddelande | CMA_0324 – Implementera leveransmetoder för sekretessmeddelande | Manuell, inaktiverad | 1.1.0 |
Ange sekretessmeddelande | CMA_0414 – Ange sekretessmeddelande | Manuell, inaktiverad | 1.1.0 |
Begränsa kommunikationen | CMA_0449 – Begränsa kommunikationen | Manuell, inaktiverad | 1.1.0 |
Systemindata över fullständighet och noggrannhet
ID: SOC 2 Typ 2 PI1.2 Ägarskap: Delat
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Utföra verifiering av informationsindata | CMA_C1723 – Utföra verifiering av informationsindata | Manuell, inaktiverad | 1.1.0 |
Systembearbetning
ID: SOC 2 Typ 2 PI1.3 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
Generera felmeddelanden | CMA_C1724 – Generera felmeddelanden | Manuell, inaktiverad | 1.1.0 |
Hantera indata, utdata, bearbetning och lagring av data | CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data | Manuell, inaktiverad | 1.1.0 |
Utföra verifiering av informationsindata | CMA_C1723 – Utföra verifiering av informationsindata | Manuell, inaktiverad | 1.1.0 |
Granska etikettaktivitet och analys | CMA_0474 – Granska etikettaktivitet och analys | Manuell, inaktiverad | 1.1.0 |
Systemets utdata är fullständiga, korrekta och kommer i rätt tid
ID: SOC 2 Typ 2 PI1.4 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
Hantera indata, utdata, bearbetning och lagring av data | CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data | Manuell, inaktiverad | 1.1.0 |
Granska etikettaktivitet och analys | CMA_0474 – Granska etikettaktivitet och analys | Manuell, inaktiverad | 1.1.0 |
Lagra indata och utdata helt, korrekt och i rätt tid
ID: SOC 2 Typ 2 PI1.5 Ägarskap: Delad
Name (Azure Portal) |
beskrivning | Effekter | Version (GitHub) |
---|---|---|---|
Azure Backup ska vara aktiverat för virtuella datorer | Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. | AuditIfNotExists, inaktiverad | 3.0.0 |
Kontrollera fysisk åtkomst | CMA_0081 – Kontrollera fysisk åtkomst | Manuell, inaktiverad | 1.1.0 |
Upprätta principer och procedurer för säkerhetskopiering | CMA_0268 – Upprätta principer och procedurer för säkerhetskopiering | Manuell, inaktiverad | 1.1.0 |
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB | Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL | Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL | Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. | Granskning, inaktiverad | 1.0.1 |
Implementera kontroller för att skydda alla medier | CMA_0314 – Implementera kontroller för att skydda alla medier | Manuell, inaktiverad | 1.1.0 |
Hantera indata, utdata, bearbetning och lagring av data | CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data | Manuell, inaktiverad | 1.1.0 |
Granska etikettaktivitet och analys | CMA_0474 – Granska etikettaktivitet och analys | Manuell, inaktiverad | 1.1.0 |
Lagra säkerhetskopieringsinformation separat | CMA_C1293 – Lagra säkerhetskopieringsinformation separat | Manuell, inaktiverad | 1.1.0 |
Nästa steg
Ytterligare artiklar om Azure Policy:
- Översikt över regelefterlevnad .
- Se initiativdefinitionsstrukturen.
- Granska andra exempel i Azure Policy-exempel.
- Granska Förstå policy-effekter.
- Lär dig hur du åtgärdar icke-kompatibla resurser.