Dela via


Information om det inbyggda initiativet System- och organisationskontroller (SOC) 2 Regelefterlevnad

I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i System- och organisationskontroller (SOC) 2. Mer information om den här efterlevnadsstandarden finns i System- och organisationskontroller (SOC) 2. Om du vill förstå Ägarskap granskar du principtypen och delat ansvar i molnet.

Följande mappningar gäller för soc-kontrollerna (System and Organization Controls) 2 . Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure Portal och väljer sidan Definitioner. Leta sedan upp och välj den inbyggda initiativdefinitionen SOC 2 Typ 2 Regelefterlevnad.

Viktigt!

Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.

Ytterligare villkor för tillgänglighet

Kapacitetshantering

ID: SOC 2 Typ 2 A1.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Genomföra kapacitetsplanering CMA_C1252 – Genomföra kapacitetsplanering Manuell, inaktiverad 1.1.0

Miljöskydd, programvara, säkerhetskopieringsprocesser för data och återställningsinfrastruktur

ID: SOC 2 Typ 2 A1.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Backup ska vara aktiverat för virtuella datorer Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. AuditIfNotExists, inaktiverad 3.0.0
Använda automatisk nödbelysning CMA_0209 – Använda automatisk nödbelysning Manuell, inaktiverad 1.1.0
Upprätta en alternativ bearbetningsplats CMA_0262 – Upprätta en alternativ bearbetningsplats Manuell, inaktiverad 1.1.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Implementera en metod för intrångstestning CMA_0306 – Implementera en metod för intrångstestning Manuell, inaktiverad 1.1.0
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden Manuell, inaktiverad 1.1.0
Installera ett larmsystem CMA_0338 – Installera ett larmsystem Manuell, inaktiverad 1.1.0
Återställa och återskapa resurser efter eventuella avbrott CMA_C1295 – Återställa och återskapa resurser efter eventuella avbrott Manuell, inaktiverad 1.1.1
Köra simuleringsattacker CMA_0486 – Köra simuleringsattacker Manuell, inaktiverad 1.1.0
Lagra säkerhetskopieringsinformation separat CMA_C1293 – Lagra säkerhetskopieringsinformation separat Manuell, inaktiverad 1.1.0
Överföra säkerhetskopieringsinformation till en alternativ lagringsplats CMA_C1294 – Överföra säkerhetskopieringsinformation till en alternativ lagringsplats Manuell, inaktiverad 1.1.0

Testning av återställningsplan

ID: SOC 2 Typ 2 A1.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Samordna beredskapsplaner med relaterade planer CMA_0086 – Samordna beredskapsplaner med relaterade planer Manuell, inaktiverad 1.1.0
Initiera åtgärdstestning av beredskapsplan CMA_C1263 – Initiera korrigeringsåtgärder för beredskapsplanstestning Manuell, inaktiverad 1.1.0
Granska resultatet av testning av beredskapsplaner CMA_C1262 – Granska resultatet av testning av beredskapsplaner Manuell, inaktiverad 1.1.0
Testa planen för affärskontinuitet och haveriberedskap CMA_0509 – Testa planen för affärskontinuitet och haveriberedskap Manuell, inaktiverad 1.1.0

Ytterligare kriterier för konfidentialitet

Skydd av konfidentiell information

ID: SOC 2 Typ 2 C1.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Kontrollera fysisk åtkomst CMA_0081 – Kontrollera fysisk åtkomst Manuell, inaktiverad 1.1.0
Hantera indata, utdata, bearbetning och lagring av data CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data Manuell, inaktiverad 1.1.0
Granska etikettaktivitet och analys CMA_0474 – Granska etikettaktivitet och analys Manuell, inaktiverad 1.1.0

Bortskaffande av konfidentiell information

ID: SOC 2 Typ 2 C1.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Kontrollera fysisk åtkomst CMA_0081 – Kontrollera fysisk åtkomst Manuell, inaktiverad 1.1.0
Hantera indata, utdata, bearbetning och lagring av data CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data Manuell, inaktiverad 1.1.0
Granska etikettaktivitet och analys CMA_0474 – Granska etikettaktivitet och analys Manuell, inaktiverad 1.1.0

Kontrollmiljö

COSO-princip 1

ID: SOC 2 Typ 2 CC1.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utveckla principer och procedurer för godtagbar användning CMA_0143 – Utveckla principer och procedurer för godtagbar användning Manuell, inaktiverad 1.1.0
Utveckla organisationens policy för uppförandekod CMA_0159 – Utveckla organisationens uppförandekod Manuell, inaktiverad 1.1.0
Dokumentera personalens godkännande av sekretesskrav CMA_0193 – Dokumentera personalens godkännande av sekretesskrav Manuell, inaktiverad 1.1.0
Framtvinga regler för beteende- och åtkomstavtal CMA_0248 – Framtvinga regler för beteende- och åtkomstavtal Manuell, inaktiverad 1.1.0
Förbjuda illojala metoder CMA_0396 – Förbjuda otillbörliga metoder Manuell, inaktiverad 1.1.0
Granska och signera ändrade beteenderegler CMA_0465 – Granska och underteckna ändrade beteenderegler Manuell, inaktiverad 1.1.0
Uppdatera regler för beteende- och åtkomstavtal CMA_0521 – Uppdatera regler för beteende- och åtkomstavtal Manuell, inaktiverad 1.1.0
Uppdatera regler för beteende och åtkomstavtal vart tredje år CMA_0522 – Uppdatera regler för beteende- och åtkomstavtal vart tredje år Manuell, inaktiverad 1.1.0

COSO-princip 2

ID: SOC 2 Typ 2 CC1.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utse en högre informationssäkerhetsansvarig CMA_C1733 – Utse en högre informationssäkerhetsansvarig Manuell, inaktiverad 1.1.0
Utveckla och upprätta en systemsäkerhetsplan CMA_0151 – Utveckla och upprätta en systemsäkerhetsplan Manuell, inaktiverad 1.1.0
Upprätta en riskhanteringsstrategi CMA_0258 – Upprätta en riskhanteringsstrategi Manuell, inaktiverad 1.1.0
Upprätta säkerhetskrav för tillverkning av anslutna enheter CMA_0279 – Fastställa säkerhetskrav för tillverkning av anslutna enheter Manuell, inaktiverad 1.1.0
Implementera säkerhetstekniska principer för informationssystem CMA_0325 – Implementera säkerhetstekniska principer för informationssystem Manuell, inaktiverad 1.1.0

COSO-princip 3

ID: SOC 2 Typ 2 CC1.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utse en högre informationssäkerhetsansvarig CMA_C1733 – Utse en högre informationssäkerhetsansvarig Manuell, inaktiverad 1.1.0
Utveckla och upprätta en systemsäkerhetsplan CMA_0151 – Utveckla och upprätta en systemsäkerhetsplan Manuell, inaktiverad 1.1.0
Upprätta en riskhanteringsstrategi CMA_0258 – Upprätta en riskhanteringsstrategi Manuell, inaktiverad 1.1.0
Upprätta säkerhetskrav för tillverkning av anslutna enheter CMA_0279 – Fastställa säkerhetskrav för tillverkning av anslutna enheter Manuell, inaktiverad 1.1.0
Implementera säkerhetstekniska principer för informationssystem CMA_0325 – Implementera säkerhetstekniska principer för informationssystem Manuell, inaktiverad 1.1.0

COSO-princip 4

ID: SOC 2 Typ 2 CC1.4 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Tillhandahålla regelbunden rollbaserad säkerhetsutbildning CMA_C1095 – Tillhandahålla regelbunden rollbaserad säkerhetsutbildning Manuell, inaktiverad 1.1.0
Tillhandahålla regelbunden utbildning för säkerhetsmedvetenhet CMA_C1091 – Tillhandahålla regelbunden utbildning om säkerhetsmedvetenhet Manuell, inaktiverad 1.1.0
Tillhandahålla rollbaserade praktiska övningar CMA_C1096 – Tillhandahålla rollbaserade praktiska övningar Manuell, inaktiverad 1.1.0
Tillhandahålla säkerhetsutbildning innan du ger åtkomst CMA_0418 – Tillhandahålla säkerhetsutbildning innan du ger åtkomst Manuell, inaktiverad 1.1.0
Tillhandahålla säkerhetsutbildning för nya användare CMA_0419 – Tillhandahålla säkerhetsutbildning för nya användare Manuell, inaktiverad 1.1.0

COSO-princip 5

ID: SOC 2 Typ 2 CC1.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utveckla principer och procedurer för godtagbar användning CMA_0143 – Utveckla principer och procedurer för godtagbar användning Manuell, inaktiverad 1.1.0
Framtvinga regler för beteende- och åtkomstavtal CMA_0248 – Framtvinga regler för beteende- och åtkomstavtal Manuell, inaktiverad 1.1.0
Implementera formell sanktionsprocess CMA_0317 – Genomföra formell sanktionsprocess Manuell, inaktiverad 1.1.0
Meddela personalen om sanktioner CMA_0380 – Meddela personalen om sanktioner Manuell, inaktiverad 1.1.0

Kommunikation och information

COSO-princip 13

ID: SOC 2 Typ 2 CC2.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Kontrollera fysisk åtkomst CMA_0081 – Kontrollera fysisk åtkomst Manuell, inaktiverad 1.1.0
Hantera indata, utdata, bearbetning och lagring av data CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data Manuell, inaktiverad 1.1.0
Granska etikettaktivitet och analys CMA_0474 – Granska etikettaktivitet och analys Manuell, inaktiverad 1.1.0

COSO-princip 14

ID: SOC 2 Typ 2 CC2.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utveckla principer och procedurer för godtagbar användning CMA_0143 – Utveckla principer och procedurer för godtagbar användning Manuell, inaktiverad 1.1.0
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.2.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.1.0
Framtvinga regler för beteende- och åtkomstavtal CMA_0248 – Framtvinga regler för beteende- och åtkomstavtal Manuell, inaktiverad 1.1.0
Tillhandahålla regelbunden rollbaserad säkerhetsutbildning CMA_C1095 – Tillhandahålla regelbunden rollbaserad säkerhetsutbildning Manuell, inaktiverad 1.1.0
Tillhandahålla regelbunden utbildning för säkerhetsmedvetenhet CMA_C1091 – Tillhandahålla regelbunden utbildning om säkerhetsmedvetenhet Manuell, inaktiverad 1.1.0
Tillhandahålla säkerhetsutbildning innan du ger åtkomst CMA_0418 – Tillhandahålla säkerhetsutbildning innan du ger åtkomst Manuell, inaktiverad 1.1.0
Tillhandahålla säkerhetsutbildning för nya användare CMA_0419 – Tillhandahålla säkerhetsutbildning för nya användare Manuell, inaktiverad 1.1.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1

COSO-princip 15

ID: SOC 2 Typ 2 CC2.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Definiera uppgifter för processorer CMA_0127 – Definiera uppgifter för processorer Manuell, inaktiverad 1.1.0
Leverera resultat från säkerhetsutvärdering CMA_C1147 – Leverera resultat för säkerhetsutvärdering Manuell, inaktiverad 1.1.0
Utveckla och upprätta en systemsäkerhetsplan CMA_0151 – Utveckla och upprätta en systemsäkerhetsplan Manuell, inaktiverad 1.1.0
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.2.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.1.0
Upprätta säkerhetskrav för tillverkning av anslutna enheter CMA_0279 – Fastställa säkerhetskrav för tillverkning av anslutna enheter Manuell, inaktiverad 1.1.0
Upprätta säkerhetskrav för personal från tredje part CMA_C1529 – Upprätta säkerhetskrav för tredje part Manuell, inaktiverad 1.1.0
Implementera leveransmetoder för sekretessmeddelande CMA_0324 – Implementera leveransmetoder för sekretessmeddelande Manuell, inaktiverad 1.1.0
Implementera säkerhetstekniska principer för informationssystem CMA_0325 – Implementera säkerhetstekniska principer för informationssystem Manuell, inaktiverad 1.1.0
Skapa en rapport för säkerhetsutvärdering CMA_C1146 – Skapa en rapport om säkerhetsbedömning Manuell, inaktiverad 1.1.0
Ange sekretessmeddelande CMA_0414 – Ange sekretessmeddelande Manuell, inaktiverad 1.1.0
Kräv att tredjepartsleverantörer följer personalsäkerhetsprinciper och -procedurer CMA_C1530 – Kräv att tredjepartsleverantörer följer säkerhetsprinciper och procedurer för personal Manuell, inaktiverad 1.1.0
Begränsa kommunikationen CMA_0449 – Begränsa kommunikationen Manuell, inaktiverad 1.1.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1

Riskbedömning

COSO-princip 6

ID: SOC 2 Typ 2 CC3.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Kategorisera information CMA_0052 – Kategorisera information Manuell, inaktiverad 1.1.0
Fastställa informationsskyddsbehov CMA_C1750 – Fastställa informationsskyddsbehov Manuell, inaktiverad 1.1.0
Utveckla affärsklassificeringsscheman CMA_0155 – Utveckla affärsklassificeringssystem Manuell, inaktiverad 1.1.0
Utveckla SSP som uppfyller kriterierna CMA_C1492 – Utveckla SSP som uppfyller kriterierna Manuell, inaktiverad 1.1.0
Upprätta en riskhanteringsstrategi CMA_0258 – Upprätta en riskhanteringsstrategi Manuell, inaktiverad 1.1.0
Utföra en riskbedömning CMA_0388 – Utföra en riskbedömning Manuell, inaktiverad 1.1.0
Granska etikettaktivitet och analys CMA_0474 – Granska etikettaktivitet och analys Manuell, inaktiverad 1.1.0

COSO-princip 7

ID: SOC 2 Typ 2 CC3.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, inaktiverad 3.0.0
Kategorisera information CMA_0052 – Kategorisera information Manuell, inaktiverad 1.1.0
Fastställa informationsskyddsbehov CMA_C1750 – Fastställa informationsskyddsbehov Manuell, inaktiverad 1.1.0
Utveckla affärsklassificeringsscheman CMA_0155 – Utveckla affärsklassificeringssystem Manuell, inaktiverad 1.1.0
Upprätta en riskhanteringsstrategi CMA_0258 – Upprätta en riskhanteringsstrategi Manuell, inaktiverad 1.1.0
Utföra en riskbedömning CMA_0388 – Utföra en riskbedömning Manuell, inaktiverad 1.1.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.1.0
Granska etikettaktivitet och analys CMA_0474 – Granska etikettaktivitet och analys Manuell, inaktiverad 1.1.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 3.0.0

COSO-princip 8

ID: SOC 2 Typ 2 CC3.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utföra en riskbedömning CMA_0388 – Utföra en riskbedömning Manuell, inaktiverad 1.1.0

COSO-princip 9

ID: SOC 2 Typ 2 CC3.4 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utvärdera risker i relationer från tredje part CMA_0014 – Utvärdera risker i relationer från tredje part Manuell, inaktiverad 1.1.0
Definiera krav för leverans av varor och tjänster CMA_0126 – Definiera krav för leverans av varor och tjänster Manuell, inaktiverad 1.1.0
Fastställa leverantörskontraktsförpliktelser CMA_0140 – Fastställa leverantörskontraktsförpliktelser Manuell, inaktiverad 1.1.0
Upprätta en riskhanteringsstrategi CMA_0258 – Upprätta en riskhanteringsstrategi Manuell, inaktiverad 1.1.0
Upprätta principer för riskhantering i leveranskedjan CMA_0275 – Upprätta principer för riskhantering i leveranskedjan Manuell, inaktiverad 1.1.0
Utföra en riskbedömning CMA_0388 – Utföra en riskbedömning Manuell, inaktiverad 1.1.0

Övervakningsaktiviteter

COSO-princip 16

ID: SOC 2 Typ 2 CC4.1 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utvärdera säkerhetskontroller CMA_C1145 – Utvärdera säkerhetskontroller Manuell, inaktiverad 1.1.0
Utveckla en plan för säkerhetsbedömning CMA_C1144 – Utveckla en plan för säkerhetsbedömning Manuell, inaktiverad 1.1.0
Välj ytterligare testning för utvärderingar av säkerhetskontroll CMA_C1149 – Välj ytterligare testning för säkerhetskontrollutvärderingar Manuell, inaktiverad 1.1.0

COSO-princip 17

ID: SOC 2 Typ 2 CC4.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Leverera resultat från säkerhetsutvärdering CMA_C1147 – Leverera resultat för säkerhetsutvärdering Manuell, inaktiverad 1.1.0
Skapa en rapport för säkerhetsutvärdering CMA_C1146 – Skapa en rapport om säkerhetsbedömning Manuell, inaktiverad 1.1.0

Kontrollaktiviteter

COSO-princip 10

ID: SOC 2 Typ 2 CC5.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Upprätta en riskhanteringsstrategi CMA_0258 – Upprätta en riskhanteringsstrategi Manuell, inaktiverad 1.1.0
Utföra en riskbedömning CMA_0388 – Utföra en riskbedömning Manuell, inaktiverad 1.1.0

COSO-princip 11

ID: SOC 2 Typ 2 CC5.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Högst 3 ägare bör utses för din prenumeration Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, inaktiverad 3.0.0
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Utforma en åtkomstkontrollmodell CMA_0129 – Utforma en åtkomstkontrollmodell Manuell, inaktiverad 1.1.0
Fastställa leverantörskontraktsförpliktelser CMA_0140 – Fastställa leverantörskontraktsförpliktelser Manuell, inaktiverad 1.1.0
Kriterier för godkännande av dokumentförvärvskontrakt CMA_0187 – Kriterier för godkännande av dokumentförvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentskydd av personuppgifter i förvärvsavtal CMA_0194 – Dokumentskydd av personuppgifter i förvärvsavtal Manuell, inaktiverad 1.1.0
Dokumentera skydd av säkerhetsinformation i förvärvsavtal CMA_0195 – Dokumentskydd av säkerhetsinformation i förvärvsavtal Manuell, inaktiverad 1.1.0
Dokumentkrav för användning av delade data i kontrakt CMA_0197 – Dokumentkrav för användning av delade data i kontrakt Manuell, inaktiverad 1.1.0
Dokumentera säkerhetskrav i förvärvskontrakt CMA_0199 – Dokumentera säkerhetskrav i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentsäkerhetsdokumentationskrav i förvärvskontrakt CMA_0200 – Dokumentera krav på säkerhetsdokumentation i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera funktionskrav för säkerhet i förvärvskontrakt CMA_0201 – Dokumentera säkerhetsfunktionskrav i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera krav på säkerhetsstyrka i förvärvskontrakt CMA_0203 – Dokumentera krav på säkerhetsstyrka i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera informationssystemmiljön i förvärvskontrakt CMA_0205 – Dokumentera informationssystemmiljön i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera skyddet av korthållardata i kontrakt från tredje part CMA_0207 – Dokumentera skyddet av korthållardata i tredjepartskontrakt Manuell, inaktiverad 1.1.0
Använda åtkomst med minst behörighet CMA_0212 – Använda åtkomst med minst behörighet Manuell, inaktiverad 1.1.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Utföra en riskbedömning CMA_0388 – Utföra en riskbedömning Manuell, inaktiverad 1.1.0
Det bör finnas fler än en ägare tilldelad till din prenumeration Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. AuditIfNotExists, inaktiverad 3.0.0

COSO-princip 12

ID: SOC 2 Typ 2 CC5.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Konfigurera vitlista för identifiering CMA_0068 – Konfigurera vitlista för identifiering Manuell, inaktiverad 1.1.0
Utföra en riskbedömning CMA_0388 – Utföra en riskbedömning Manuell, inaktiverad 1.1.0
Aktivera sensorer för slutpunktssäkerhetslösning CMA_0514 – Aktivera sensorer för slutpunktssäkerhetslösning Manuell, inaktiverad 1.1.0
Genomgå oberoende säkerhetsgranskning CMA_0515 – Genomgå oberoende säkerhetsgranskning Manuell, inaktiverad 1.1.0

Logiska och fysiska åtkomstkontroller

Programvara, infrastruktur och arkitekturer för logisk åtkomstsäkerhet

ID: SOC 2 Typ 2 CC6.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Högst 3 ägare bör utses för din prenumeration Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, inaktiverad 3.0.0
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Använda mekanismer för biometrisk autentisering CMA_0005 – Använda mekanismer för biometrisk autentisering Manuell, inaktiverad 1.1.0
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
App Service-appar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 4.0.0
App Service-appar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
Autentisering till Linux-datorer bör kräva SSH-nycklar Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, inaktiverad 3.2.0
Auktorisera åtkomst till säkerhetsfunktioner och information CMA_0022 – Auktorisera åtkomst till säkerhetsfunktioner och information Manuell, inaktiverad 1.1.0
Auktorisera och hantera åtkomst CMA_0023 – Auktorisera och hantera åtkomst Manuell, inaktiverad 1.1.0
Auktorisera fjärråtkomst CMA_0024 – Auktorisera fjärråtkomst Manuell, inaktiverad 1.1.0
Automation-kontovariabler ska krypteras Det är viktigt att aktivera kryptering av Automation-kontovariabeltillgångar när känsliga data lagras Granska, neka, inaktiverad 1.1.0
Azure AI Services-resurser ska kryptera vilande data med en kundhanterad nyckel (CMK) Att använda kundhanterade nycklar för att kryptera vilande data ger mer kontroll över nyckellivscykeln, inklusive rotation och hantering. Detta är särskilt relevant för organisationer med relaterade efterlevnadskrav. Detta utvärderas inte som standard och bör endast tillämpas när det krävs av efterlevnads- eller begränsande principkrav. Om de inte är aktiverade krypteras data med plattformshanterade nycklar. Om du vill implementera detta uppdaterar du parametern "Effekt" i säkerhetsprincipen för det tillämpliga omfånget. Granska, neka, inaktiverad 2.2.0
Azure Cosmos DB-konton bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av Azure Cosmos DB. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/cosmosdb-cmk. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Azure Machine Learning-arbetsytor ska krypteras med en kundhanterad nyckel Hantera kryptering i resten av Azure Machine Learning-arbetsytedata med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/azureml-workspaces-cmk. Granska, neka, inaktiverad 1.1.0
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Certifikaten ska ha den angivna maximala giltighetsperioden Hantera organisationens efterlevnadskrav genom att ange den maximala tid som ett certifikat kan vara giltigt i ditt nyckelvalv. audit, Audit, deny, Deny, disabled, Disabled 2.2.1
Containerregister ska krypteras med en kundhanterad nyckel Använd kundhanterade nycklar för att hantera krypteringen i resten av innehållet i dina register. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/acr/CMK. Granska, neka, inaktiverad 1.1.2
Kontrollera informationsflödet CMA_0079 – Kontrollera informationsflödet Manuell, inaktiverad 1.1.0
Kontrollera fysisk åtkomst CMA_0081 – Kontrollera fysisk åtkomst Manuell, inaktiverad 1.1.0
Skapa en datainventering CMA_0096 – Skapa en datainventering Manuell, inaktiverad 1.1.0
Definiera en process för hantering av fysiska nycklar CMA_0115 – Definiera en process för hantering av fysiska nycklar Manuell, inaktiverad 1.1.0
Definiera kryptografisk användning CMA_0120 – Definiera kryptografisk användning Manuell, inaktiverad 1.1.0
Definiera organisationens krav för hantering av kryptografiska nycklar CMA_0123 – Definiera organisationens krav för hantering av kryptografiska nycklar Manuell, inaktiverad 1.1.0
Utforma en åtkomstkontrollmodell CMA_0129 – Utforma en åtkomstkontrollmodell Manuell, inaktiverad 1.1.0
Fastställa krav för försäkran CMA_0136 – Fastställa kontrollkrav Manuell, inaktiverad 1.1.0
Dokumentera mobilitetsträning CMA_0191 – Utbildning i dokumentmobilitet Manuell, inaktiverad 1.1.0
Dokumentera riktlinjer för fjärråtkomst CMA_0196 – Dokumentera riktlinjer för fjärråtkomst Manuell, inaktiverad 1.1.0
Använda flödeskontrollmekanismer för krypterad information CMA_0211 – Använda flödeskontrollmekanismer för krypterad information Manuell, inaktiverad 1.1.0
Använda åtkomst med minst behörighet CMA_0212 – Använda åtkomst med minst behörighet Manuell, inaktiverad 1.1.0
Framtvinga logisk åtkomst CMA_0245 – Framtvinga logisk åtkomst Manuell, inaktiverad 1.1.0
Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll CMA_0246 – Framtvinga obligatoriska och diskretionära principer för åtkomstkontroll Manuell, inaktiverad 1.1.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Upprätta en procedur för hantering av dataläckage CMA_0255 – Upprätta en procedur för hantering av dataläckage Manuell, inaktiverad 1.1.0
Upprätta konfigurationsstandarder för brandvägg och router CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router Manuell, inaktiverad 1.1.0
Upprätta nätverkssegmentering för kortinnehavarens datamiljö CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö Manuell, inaktiverad 1.1.0
Funktionsappar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 5.0.0
Funktionsappar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
Funktionsappar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Identifiera och hantera informationsutbyten i underordnade led CMA_0298 – Identifiera och hantera informationsutbyten i nedströms Manuell, inaktiverad 1.1.0
Implementera kontroller för att skydda alternativa arbetsplatser CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser Manuell, inaktiverad 1.1.0
Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden CMA_0323 – Implementera fysisk säkerhet för kontor, arbetsytor och säkra områden Manuell, inaktiverad 1.1.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Utfärda certifikat för offentlig nyckel CMA_0347 – Utfärda certifikat för offentlig nyckel Manuell, inaktiverad 1.1.0
Key Vault-nycklar bör ha ett utgångsdatum Kryptografiska nycklar ska ha ett definierat förfallodatum och inte vara permanenta. Nycklar som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera nyckeln. Vi rekommenderar att du anger förfallodatum för kryptografiska nycklar. Granska, neka, inaktiverad 1.0.2
Key Vault-hemligheter bör ha ett utgångsdatum Hemligheter bör ha ett definierat förfallodatum och inte vara permanenta. Hemligheter som är giltiga för alltid ger en potentiell angripare mer tid att kompromettera dem. Vi rekommenderar att du anger förfallodatum för hemligheter. Granska, neka, inaktiverad 1.0.2
Nyckelvalv bör ha borttagningsskydd aktiverat Skadlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Du kan förhindra permanent dataförlust genom att aktivera rensningsskydd och mjuk borttagning. Rensningsskydd skyddar dig mot insiderattacker genom att framtvinga en obligatorisk kvarhållningsperiod för mjuka borttagna nyckelvalv. Ingen i din organisation eller Microsoft kommer att kunna rensa dina nyckelvalv under kvarhållningsperioden för mjuk borttagning. Tänk på att nyckelvalv som skapats efter den 1 september 2019 har mjuk borttagning aktiverat som standard. Granska, neka, inaktiverad 2.1.0
Nyckelvalv bör ha mjuk borttagning aktiverat Om du tar bort ett nyckelvalv utan mjuk borttagning tas alla hemligheter, nycklar och certifikat som lagras i nyckelvalvet bort permanent. Oavsiktlig borttagning av ett nyckelvalv kan leda till permanent dataförlust. Med mjuk borttagning kan du återställa ett nyckelvalv som tagits bort av misstag under en konfigurerbar kvarhållningsperiod. Granska, neka, inaktiverad 3.0.0
Kubernetes-kluster bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc audit, Audit, deny, Deny, disabled, Disabled 8.2.0
Upprätthålla register över bearbetning av personuppgifter CMA_0353 – Upprätthålla register över bearbetning av personuppgifter Manuell, inaktiverad 1.1.0
Hantera symmetriska kryptografiska nycklar CMA_0367 – Hantera symmetriska kryptografiska nycklar Manuell, inaktiverad 1.1.0
Hantera indata, utdata, bearbetning och lagring av data CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data Manuell, inaktiverad 1.1.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen på resten av mySQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. AuditIfNotExists, inaktiverad 1.0.4
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Meddela användare om systeminloggning eller åtkomst CMA_0382 – Meddela användare om systeminloggning eller åtkomst Manuell, inaktiverad 1.1.0
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 1.0.0
PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen på resten av postgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. AuditIfNotExists, inaktiverad 1.0.4
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Skydda särskild information CMA_0409 – Skydda särskild information Manuell, inaktiverad 1.1.0
Tillhandahålla sekretessutbildning CMA_0415 – Tillhandahålla sekretessutbildning Manuell, inaktiverad 1.1.0
Kräv godkännande för att skapa konto CMA_0431 – Kräv godkännande för att skapa konto Manuell, inaktiverad 1.1.0
Begränsa åtkomsten till privata nycklar CMA_0445 – Begränsa åtkomsten till privata nycklar Manuell, inaktiverad 1.1.0
Granska användargrupper och program med åtkomst till känsliga data CMA_0481 – Granska användargrupper och program med åtkomst till känsliga data Manuell, inaktiverad 1.1.0
Säker överföring till lagringskonton ska vara aktiverad Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 2.0.0
Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSign Service Fabric tillhandahåller tre skyddsnivåer (Ingen, Sign och EncryptAndSign) för kommunikation från nod till nod med hjälp av ett primärt klustercertifikat. Ange skyddsnivå för att säkerställa att alla nod-till-nod-meddelanden krypteras och signeras digitalt Granska, neka, inaktiverad 1.1.0
SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.0
SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Att implementera transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.1
Lagringskonto som innehåller containern med aktivitetsloggar måste krypteras med BYOK Den här principen granskar om lagringskontot som innehåller containern med aktivitetsloggar krypteras med BYOK. Principen fungerar bara om lagringskontot finns i samma prenumeration som aktivitetsloggar avsiktligt. Mer information om Azure Storage-kryptering i vila finns här https://aka.ms/azurestoragebyok. AuditIfNotExists, inaktiverad 1.0.0
Lagringskonton bör använda kundhanterad nyckel för kryptering Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. Granskning, inaktiverad 1.0.3
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Det bör finnas fler än en ägare tilldelad till din prenumeration Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. AuditIfNotExists, inaktiverad 3.0.0
transparent datakryptering på SQL-databaser ska vara aktiverat Transparent datakryptering bör aktiveras för att skydda vilande data och uppfylla efterlevnadskraven AuditIfNotExists, inaktiverad 2.0.0
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. AuditIfNotExists, inaktiverad 4.1.1

Åtkomstetablering och borttagning

ID: SOC 2 Typ 2 CC6.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Tilldela kontoansvariga CMA_0015 – Tilldela kontoansvariga Manuell, inaktiverad 1.1.0
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.1.0
Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Behörigheter för dokumentåtkomst CMA_0186 – Behörigheter för dokumentåtkomst Manuell, inaktiverad 1.1.0
Upprätta villkor för rollmedlemskap CMA_0269 – Upprätta villkor för rollmedlemskap Manuell, inaktiverad 1.1.0
Gästkonton med läsbehörighet för Azure-resurser bör tas bort Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Kräv godkännande för att skapa konto CMA_0431 – Kräv godkännande för att skapa konto Manuell, inaktiverad 1.1.0
Begränsa åtkomsten till privilegierade konton CMA_0446 – Begränsa åtkomsten till privilegierade konton Manuell, inaktiverad 1.1.0
Granska kontoetableringsloggar CMA_0460 – Granska kontoetableringsloggar Manuell, inaktiverad 1.1.0
Granska användarkonton CMA_0480 – Granska användarkonton Manuell, inaktiverad 1.1.0

Rol-baserad åtkomst och minsta behörighet

ID: SOC 2 Typ 2 CC6.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Högst 3 ägare bör utses för din prenumeration Vi rekommenderar att du anger upp till 3 prenumerationsägare för att minska risken för intrång av en komprometterad ägare. AuditIfNotExists, inaktiverad 3.0.0
Granska privilegierade funktioner CMA_0019 – Granska privilegierade funktioner Manuell, inaktiverad 1.1.0
Granska användningen av anpassade RBAC-roller Granska inbyggda roller som "Ägare, Bidragare, Läsare" i stället för anpassade RBAC-roller, som är felbenägna. Användning av anpassade roller behandlas som ett undantag och kräver en rigorös granskning och hotmodellering Granskning, inaktiverad 1.0.1
Granska användarkontostatus CMA_0020 – Granska användarkontostatus Manuell, inaktiverad 1.1.0
Blockerade konton med ägarbehörighet för Azure-resurser bör tas bort Inaktuella konton med ägarbehörigheter bör tas bort från din prenumeration. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Blockerade konton med läs- och skrivbehörigheter för Azure-resurser bör tas bort Inaktuella konton bör tas bort från dina prenumerationer. Inaktuella konton är konton som har blockerats från att logga in. AuditIfNotExists, inaktiverad 1.0.0
Utforma en åtkomstkontrollmodell CMA_0129 – Utforma en åtkomstkontrollmodell Manuell, inaktiverad 1.1.0
Använda åtkomst med minst behörighet CMA_0212 – Använda åtkomst med minst behörighet Manuell, inaktiverad 1.1.0
Gästkonton med ägarbehörighet för Azure-resurser bör tas bort Externa konton med ägarbehörigheter bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med läsbehörighet för Azure-resurser bör tas bort Externa konton med läsbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Gästkonton med skrivbehörighet för Azure-resurser bör tas bort Externa konton med skrivbehörighet bör tas bort från din prenumeration för att förhindra oövervakad åtkomst. AuditIfNotExists, inaktiverad 1.0.0
Övervaka privilegierad rolltilldelning CMA_0378 – Övervaka privilegierad rolltilldelning Manuell, inaktiverad 1.1.0
Begränsa åtkomsten till privilegierade konton CMA_0446 – Begränsa åtkomsten till privilegierade konton Manuell, inaktiverad 1.1.0
Granska kontoetableringsloggar CMA_0460 – Granska kontoetableringsloggar Manuell, inaktiverad 1.1.0
Granska användarkonton CMA_0480 – Granska användarkonton Manuell, inaktiverad 1.1.0
Granska användarbehörigheter CMA_C1039 – Granska användarbehörigheter Manuell, inaktiverad 1.1.0
Återkalla privilegierade roller efter behov CMA_0483 – Återkalla privilegierade roller efter behov Manuell, inaktiverad 1.1.0
Rollbaserad åtkomstkontroll (RBAC) ska användas på Kubernetes Services Om du vill tillhandahålla detaljerad filtrering av de åtgärder som användare kan utföra använder du rollbaserad åtkomstkontroll (RBAC) för att hantera behörigheter i Kubernetes Service-kluster och konfigurera relevanta auktoriseringsprinciper. Granskning, inaktiverad 1.0.4
Det bör finnas fler än en ägare tilldelad till din prenumeration Vi rekommenderar att du anger fler än en prenumerationsägare för att administratören ska få åtkomst till redundans. AuditIfNotExists, inaktiverad 3.0.0
Använda privilegierad identitetshantering CMA_0533 – Använda privilegierad identitetshantering Manuell, inaktiverad 1.1.0

Begränsad fysisk åtkomst

ID: SOC 2 Typ 2 CC6.4 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Kontrollera fysisk åtkomst CMA_0081 – Kontrollera fysisk åtkomst Manuell, inaktiverad 1.1.0

Logiskt och fysiskt skydd över fysiska tillgångar

ID: SOC 2 Typ 2 CC6.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Använda en mekanism för mediesanering CMA_0208 – Använda en mekanism för mediesanering Manuell, inaktiverad 1.1.0
Implementera kontroller för att skydda alla medier CMA_0314 – Implementera kontroller för att skydda alla medier Manuell, inaktiverad 1.1.0

Säkerhetsåtgärder mot hot utanför systemgränser

ID: SOC 2 Typ 2 CC6.6 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: All Internettrafik ska dirigeras via din distribuerade Azure Firewall Azure Security Center har upptäckt att vissa av dina undernät inte skyddas med en nästa generations brandvägg. Skydda dina undernät mot potentiella hot genom att begränsa åtkomsten till dem med Azure Firewall eller en nästa generations brandvägg som stöds AuditIfNotExists, inaktiverad 3.0.0-preview
Konton med ägarbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med ägarbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med läsbehörigheter för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) bör aktiveras för alla prenumerationskonton med läsbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Konton med skrivbehörighet för Azure-resurser ska vara MFA-aktiverade Multi-Factor Authentication (MFA) ska aktiveras för alla prenumerationskonton med skrivbehörighet för att förhindra intrång i konton eller resurser. AuditIfNotExists, inaktiverad 1.0.0
Använda mekanismer för biometrisk autentisering CMA_0005 – Använda mekanismer för biometrisk autentisering Manuell, inaktiverad 1.1.0
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
App Service-appar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 4.0.0
App Service-appar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
Autentisering till Linux-datorer bör kräva SSH-nycklar Även om SSH själv ger en krypterad anslutning, gör användning av lösenord med SSH fortfarande den virtuella datorn sårbar för råstyrkeattacker. Det säkraste alternativet för att autentisera till en virtuell Azure Linux-dator via SSH är med ett offentligt-privat nyckelpar, även kallat SSH-nycklar. Läs mer: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, inaktiverad 3.2.0
Auktorisera fjärråtkomst CMA_0024 – Auktorisera fjärråtkomst Manuell, inaktiverad 1.1.0
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 1.0.2
Kontrollera informationsflödet CMA_0079 – Kontrollera informationsflödet Manuell, inaktiverad 1.1.0
Dokumentera mobilitetsträning CMA_0191 – Utbildning i dokumentmobilitet Manuell, inaktiverad 1.1.0
Dokumentera riktlinjer för fjärråtkomst CMA_0196 – Dokumentera riktlinjer för fjärråtkomst Manuell, inaktiverad 1.1.0
Använda flödeskontrollmekanismer för krypterad information CMA_0211 – Använda flödeskontrollmekanismer för krypterad information Manuell, inaktiverad 1.1.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Upprätta konfigurationsstandarder för brandvägg och router CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router Manuell, inaktiverad 1.1.0
Upprätta nätverkssegmentering för kortinnehavarens datamiljö CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö Manuell, inaktiverad 1.1.0
Funktionsappar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 5.0.0
Funktionsappar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
Funktionsappar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Identifiera och autentisera nätverksenheter CMA_0296 – Identifiera och autentisera nätverksenheter Manuell, inaktiverad 1.1.0
Identifiera och hantera informationsutbyten i underordnade led CMA_0298 – Identifiera och hantera informationsutbyten i nedströms Manuell, inaktiverad 1.1.0
Implementera kontroller för att skydda alternativa arbetsplatser CMA_0315 – Implementera kontroller för att skydda alternativa arbetsplatser Manuell, inaktiverad 1.1.0
Implementera systemgränsskydd CMA_0328 – Implementera systemgränsskydd Manuell, inaktiverad 1.1.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
IP-vidarebefordran på den virtuella datorn bör inaktiveras Genom att aktivera IP-vidarebefordran på en virtuell dators nätverkskort kan datorn ta emot trafik som är adresserad till andra mål. IP-vidarebefordran krävs sällan (t.ex. när du använder den virtuella datorn som en virtuell nätverksinstallation), och därför bör detta granskas av nätverkssäkerhetsteamet. AuditIfNotExists, inaktiverad 3.0.0
Kubernetes-kluster bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc audit, Audit, deny, Deny, disabled, Disabled 8.2.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Meddela användare om systeminloggning eller åtkomst CMA_0382 – Meddela användare om systeminloggning eller åtkomst Manuell, inaktiverad 1.1.0
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 1.0.0
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Tillhandahålla sekretessutbildning CMA_0415 – Tillhandahålla sekretessutbildning Manuell, inaktiverad 1.1.0
Säker överföring till lagringskonton ska vara aktiverad Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 2.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Brandväggen för webbaserade program (WAF) ska vara aktiverad för Application Gateway Distribuera Azure Web Application Firewall (WAF) framför offentliga webbprogram för ytterligare kontroll av inkommande trafik. Web Application Firewall (WAF) ger ett centraliserat skydd av dina webbprogram mot vanliga sårbarheter som SQL-inmatningar, skript mellan webbplatser, lokala och fjärranslutna filkörningar. Du kan också begränsa åtkomsten till dina webbprogram efter länder, IP-adressintervall och andra http-parametrar via anpassade regler. Granska, neka, inaktiverad 2.0.0
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. AuditIfNotExists, inaktiverad 4.1.1

Begränsa förflyttning av information till behöriga användare

ID: SOC 2 Typ 2 CC6.7 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Alla nätverksportar bör begränsas för nätverkssäkerhetsgrupper som är associerade med den virtuella datorn Azure Security Center har identifierat att vissa av nätverkssäkerhetsgruppernas regler för inkommande trafik är för tillåtande. Regler för inkommande trafik bör inte tillåta åtkomst från "Alla" eller "Internet"-intervall. Detta kan potentiellt göra det möjligt för angripare att rikta in sig på dina resurser. AuditIfNotExists, inaktiverad 3.0.0
App Service-appar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 4.0.0
App Service-appar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
Konfigurera arbetsstationer för att söka efter digitala certifikat CMA_0073 – Konfigurera arbetsstationer för att söka efter digitala certifikat Manuell, inaktiverad 1.1.0
Kontrollera informationsflödet CMA_0079 – Kontrollera informationsflödet Manuell, inaktiverad 1.1.0
Definiera krav för mobila enheter CMA_0122 – Definiera krav för mobila enheter Manuell, inaktiverad 1.1.0
Använda en mekanism för mediesanering CMA_0208 – Använda en mekanism för mediesanering Manuell, inaktiverad 1.1.0
Använda flödeskontrollmekanismer för krypterad information CMA_0211 – Använda flödeskontrollmekanismer för krypterad information Manuell, inaktiverad 1.1.0
Framtvinga SSL-anslutning ska vara aktiverat för MySQL-databasservrar Azure Database for MySQL stöder anslutning av Din Azure Database for MySQL-server till klientprogram med hjälp av SSL (Secure Sockets Layer). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Framtvinga SSL-anslutning ska vara aktiverat för PostgreSQL-databasservrar Azure Database for PostgreSQL stöder anslutning av Din Azure Database for PostgreSQL-server till klientprogram med hjälp av Secure Sockets Layer (SSL). Genom att framtvinga SSL-anslutningar mellan databasservern och klientprogrammen kan du skydda mot "man i mitten"-attacker genom att kryptera dataströmmen mellan servern och ditt program. Den här konfigurationen framtvingar att SSL alltid är aktiverat för åtkomst till databasservern. Granskning, inaktiverad 1.0.1
Upprätta konfigurationsstandarder för brandvägg och router CMA_0272 – Upprätta konfigurationsstandarder för brandvägg och router Manuell, inaktiverad 1.1.0
Upprätta nätverkssegmentering för kortinnehavarens datamiljö CMA_0273 – Upprätta nätverkssegmentering för kortinnehavarens datamiljö Manuell, inaktiverad 1.1.0
Funktionsappar bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, Neka 5.0.0
Funktionsappar bör endast kräva FTPS Aktivera FTPS-tillämpning för förbättrad säkerhet. AuditIfNotExists, inaktiverad 3.0.0
Funktionsappar bör använda den senaste TLS-versionen Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. AuditIfNotExists, inaktiverad 2.0.1
Identifiera och hantera informationsutbyten i underordnade led CMA_0298 – Identifiera och hantera informationsutbyten i nedströms Manuell, inaktiverad 1.1.0
Implementera kontroller för att skydda alla medier CMA_0314 – Implementera kontroller för att skydda alla medier Manuell, inaktiverad 1.1.0
Internetuppkopplade virtuella datorer ska skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer från potentiella hot genom att begränsa åtkomsten till dem med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Kubernetes-kluster bör endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer autentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Den här funktionen är för närvarande allmänt tillgänglig för Kubernetes Service (AKS) och i förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc audit, Audit, deny, Deny, disabled, Disabled 8.2.0
Hantera transport av tillgångar CMA_0370 – Hantera transport av tillgångar Manuell, inaktiverad 1.1.0
Hanteringsportar för virtuella datorer bör skyddas med just-in-time-åtkomstkontroll för nätverk Möjlig jit-åtkomst (just-in-time) för nätverk övervakas av Azure Security Center som rekommendationer AuditIfNotExists, inaktiverad 3.0.0
Hanteringsportar bör stängas på dina virtuella datorer Öppna fjärrhanteringsportar utsätter den virtuella datorn för en hög risknivå från Internetbaserade attacker. Dessa attacker försöker råstyra autentiseringsuppgifter för att få administratörsåtkomst till datorn. AuditIfNotExists, inaktiverad 3.0.0
Virtuella datorer som inte är Internetanslutna bör skyddas med nätverkssäkerhetsgrupper Skydda dina virtuella datorer som inte är Internetuppkopplade mot potentiella hot genom att begränsa åtkomsten med nätverkssäkerhetsgrupper (NSG). Läs mer om att styra trafik med NSG:er på https://aka.ms/nsg-doc AuditIfNotExists, inaktiverad 3.0.0
Endast säkra anslutningar till Azure Cache for Redis ska vara aktiverade Granska aktivering av endast anslutningar via SSL till Azure Cache for Redis. Användning av säkra anslutningar säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 1.0.0
Skydda data under överföring med hjälp av kryptering CMA_0403 – Skydda data under överföring med kryptering Manuell, inaktiverad 1.1.0
Skydda lösenord med kryptering CMA_0408 – Skydda lösenord med kryptering Manuell, inaktiverad 1.1.0
Säker överföring till lagringskonton ska vara aktiverad Granska kravet på säker överföring i ditt lagringskonto. Säker överföring är ett alternativ som tvingar ditt lagringskonto att endast acceptera begäranden från säkra anslutningar (HTTPS). Användning av HTTPS säkerställer autentisering mellan servern och tjänsten och skyddar data under överföring från nätverksnivåattacker som man-in-the-middle, avlyssning och sessionskapning Granska, neka, inaktiverad 2.0.0
Undernät ska associeras med en nätverkssäkerhetsgrupp Skydda ditt undernät mot potentiella hot genom att begränsa åtkomsten till det med en nätverkssäkerhetsgrupp (NSG). NSG:er innehåller en lista över ACL-regler (Access Control List) som tillåter eller nekar nätverkstrafik till ditt undernät. AuditIfNotExists, inaktiverad 3.0.0
Windows-datorer ska konfigureras för att använda säkra kommunikationsprotokoll För att skydda sekretessen för information som kommuniceras via Internet bör dina datorer använda den senaste versionen av det kryptografiska protokollet Transport Layer Security (TLS) av branschstandard. TLS skyddar kommunikationen via ett nätverk genom att kryptera en anslutning mellan datorer. AuditIfNotExists, inaktiverad 4.1.1

Förhindra eller identifiera mot obehörig eller skadlig programvara

ID: SOC 2 Typ 2 CC6.8 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat. Granskning, inaktiverad 3.1.0-inaktuell
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds Installera gästattesteringstillägget på virtuella Linux-datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda starta och konfidentiella virtuella Linux-datorer. AuditIfNotExists, inaktiverad 6.0.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds Installera gästattesteringstillägget på linux-skalningsuppsättningar som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för vm-skalningsuppsättningar för betrodd start och konfidentiell Linux. AuditIfNotExists, inaktiverad 5.1.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds Installera gästattesteringstillägget på virtuella datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt. AuditIfNotExists, inaktiverad 4.0.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds Installera gästattesteringstillägget på skalningsuppsättningar som stöds för virtuella datorer så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda start- och konfidentiella skalningsuppsättningar för virtuella Windows-datorer. AuditIfNotExists, inaktiverad 3.1.0-preview
[Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds Aktivera säker start på virtuella Windows-datorer som stöds för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt. Granskning, inaktiverad 4.0.0-preview
[Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer. Granskning, inaktiverad 2.0.0-preview
App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. AuditIfNotExists, inaktiverad 1.0.0
App Service-appar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. AuditIfNotExists, inaktiverad 2.0.0
App Service-appar bör använda den senaste HTTP-versionen Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. AuditIfNotExists, inaktiverad 4.0.0
Granska virtuella datorer som inte använder hanterade diskar Den här principen granskar virtuella datorer som inte använder hanterade diskar granska 1.0.0
Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat Azure Policy-tillägget för Azure Arc tillhandahåller skalbara tillämpningsåtgärder och skydd på dina Arc-aktiverade Kubernetes-kluster på ett centraliserat och konsekvent sätt. Läs mer på https://aka.ms/akspolicydoc. AuditIfNotExists, inaktiverad 1.1.0
Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster Azure Policy-tillägget för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. Granskning, inaktiverad 1.0.2
Blockera ej betrodda och osignerade processer som körs från USB CMA_0050 – Blockera obetrodda och osignerade processer som körs från USB Manuell, inaktiverad 1.1.0
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. AuditIfNotExists, inaktiverad 2.0.0
Funktionsappar bör använda den senaste HTTP-versionen Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. AuditIfNotExists, inaktiverad 4.0.0
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 1.0.3
Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.3.0
Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde Blockera poddcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.2.0
Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Kubernetes-klustercontainrar bör endast använda tillåtna funktioner Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.3.0
Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.3.0
Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Kubernetes-klustertjänster bör endast lyssna på tillåtna portar Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.2.0
Kubernetes-kluster bör inte tillåta privilegierade containrar Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.2.0
Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.2.0
Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.2.0
Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner Begränsa CAP_SYS_ADMIN Linux-funktioner för att minska angreppsytan för dina containrar. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Kubernetes-kluster bör inte använda standardnamnområdet Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.2.0
Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. AuditIfNotExists, inaktiverad 2.2.0
Hantera gatewayer CMA_0363 – Hantera gatewayer Manuell, inaktiverad 1.1.0
Endast godkända VM-tillägg ska installeras Den här principen styr de tillägg för virtuella datorer som inte är godkända. Granska, neka, inaktiverad 1.0.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Granska rapporten om identifiering av skadlig kod varje vecka CMA_0475 – Granska rapporten om identifiering av skadlig kod varje vecka Manuell, inaktiverad 1.1.0
Granska hotskyddsstatus varje vecka CMA_0479 – Granska hotskyddsstatus varje vecka Manuell, inaktiverad 1.1.0
Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. Granska, neka, inaktiverad 1.0.0
Uppdatera antivirusdefinitioner CMA_0517 – Uppdatera antivirusdefinitioner Manuell, inaktiverad 1.1.0
Verifiera programvara, inbyggd programvara och informationsintegritet CMA_0542 – Verifiera programvara, inbyggd programvara och informationsintegritet Manuell, inaktiverad 1.1.0
Visa och konfigurera systemdiagnostikdata CMA_0544 – Visa och konfigurera systemdiagnostikdata Manuell, inaktiverad 1.1.0
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, inaktiverad 1.0.1
Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. AuditIfNotExists, inaktiverad 2.0.0

Systemåtgärder

Identifiering och övervakning av nya säkerhetsrisker

ID: SOC 2 Typ 2 CC7.1 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
En lösning för sårbarhetsbedömning ska vara aktiverad på dina virtuella datorer Granskar virtuella datorer för att identifiera om de kör en lösning för sårbarhetsbedömning som stöds. En viktig komponent i varje cyberrisk- och säkerhetsprogram är identifiering och analys av sårbarheter. Azure Security Centers standardprisnivå innehåller sårbarhetsgenomsökning för dina virtuella datorer utan extra kostnad. Dessutom kan Security Center automatiskt distribuera det här verktyget åt dig. AuditIfNotExists, inaktiverad 3.0.0
Konfigurera åtgärder för inkompatibla enheter CMA_0062 – Konfigurera åtgärder för inkompatibla enheter Manuell, inaktiverad 1.1.0
Utveckla och underhålla baslinjekonfigurationer CMA_0153 – Utveckla och underhålla baslinjekonfigurationer Manuell, inaktiverad 1.1.0
Aktivera identifiering av nätverksenheter CMA_0220 – Aktivera identifiering av nätverksenheter Manuell, inaktiverad 1.1.0
Framtvinga inställningar för säkerhetskonfiguration CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration Manuell, inaktiverad 1.1.0
Upprätta en kontrolltavla för konfiguration CMA_0254 – Upprätta en kontrolltavla för konfiguration Manuell, inaktiverad 1.1.0
Upprätta och dokumentera en konfigurationshanteringsplan CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan Manuell, inaktiverad 1.1.0
Implementera ett automatiserat konfigurationshanteringsverktyg CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg Manuell, inaktiverad 1.1.0
Utföra sårbarhetsgenomsökningar CMA_0393 – Utföra sårbarhetsgenomsökningar Manuell, inaktiverad 1.1.0
Åtgärda fel i informationssystemet CMA_0427 – Åtgärda fel i informationssystemet Manuell, inaktiverad 1.1.0
Ange automatiserade meddelanden för nya och populära molnprogram i din organisation CMA_0495 – Ange automatiserade meddelanden för nya och populära molnprogram i din organisation Manuell, inaktiverad 1.1.0
Verifiera programvara, inbyggd programvara och informationsintegritet CMA_0542 – Verifiera programvara, inbyggd programvara och informationsintegritet Manuell, inaktiverad 1.1.0
Visa och konfigurera systemdiagnostikdata CMA_0544 – Visa och konfigurera systemdiagnostikdata Manuell, inaktiverad 1.1.0
Sårbarhetsbedömning ska aktiveras på SQL Managed Instance Granska varje SQL Managed Instance som inte har återkommande sårbarhetsbedömningsgenomsökningar aktiverade. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 1.0.1
Sårbarhetsbedömning bör aktiveras på dina SQL-servrar Granska Azure SQL-servrar som inte har en korrekt konfigurerad sårbarhetsbedömning. Sårbarhetsbedömning kan identifiera, spåra och hjälpa dig att åtgärda potentiella sårbarheter i databasen. AuditIfNotExists, inaktiverad 3.0.0

Övervaka systemkomponenter för avvikande beteende

ID: SOC 2 Typ 2 CC7.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Azure Arc-aktiverade Kubernetes-kluster bör ha Microsoft Defender för molnet-tillägget installerat Microsoft Defender för molnet-tillägget för Azure Arc ger skydd mot hot för dina Arc-aktiverade Kubernetes-kluster. Tillägget samlar in data från alla noder i klustret och skickar dem till Azure Defender för Kubernetes-serverdelen i molnet för ytterligare analys. Läs mer i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, inaktiverad 6.0.0-preview
En aktivitetsloggavisering bör finnas för specifika administrativa åtgärder Den här principen granskar specifika administrativa åtgärder utan konfigurerade aktivitetsloggaviseringar. AuditIfNotExists, inaktiverad 1.0.0
En aktivitetsloggavisering bör finnas för specifika principåtgärder Den här principen granskar specifika principåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. AuditIfNotExists, inaktiverad 3.0.0
En aktivitetsloggavisering bör finnas för specifika säkerhetsåtgärder Den här principen granskar specifika säkerhetsåtgärder utan att några aktivitetsloggaviseringar har konfigurerats. AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för App Service ska vara aktiverat Azure Defender för App Service utnyttjar molnets skala och den synlighet som Azure har som molnleverantör för att övervaka vanliga webbappattacker. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för Azure SQL Database-servrar ska vara aktiverade Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för Key Vault ska vara aktiverat Azure Defender för Key Vault ger ytterligare ett lager av skydd och säkerhetsinformation genom att identifiera ovanliga och potentiellt skadliga försök att komma åt eller utnyttja key vault-konton. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för relationsdatabaser med öppen källkod ska vara aktiverat Azure Defender för relationsdatabaser med öppen källkod identifierar avvikande aktiviteter som indikerar ovanliga och potentiellt skadliga försök att komma åt eller utnyttja databaser. Läs mer om funktionerna i Azure Defender för relationsdatabaser med öppen källkod på https://aka.ms/AzDforOpenSourceDBsDocu. Viktigt: Om du aktiverar den här planen debiteras du för att skydda dina relationsdatabaser med öppen källkod. Läs mer om prissättningen på Security Centers prissida: https://aka.ms/pricing-security-center AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för Resource Manager ska vara aktiverat Azure Defender för Resource Manager övervakar automatiskt resurshanteringsåtgärderna i din organisation. Azure Defender identifierar hot och varnar dig om misstänkt aktivitet. Läs mer om funktionerna i Azure Defender för Resource Manager på https://aka.ms/defender-for-resource-manager . Om du aktiverar den här Azure Defender-planen resulterar det i avgifter. Läs mer om prisinformationen per region på Security Centers prissida: https://aka.ms/pricing-security-center . AuditIfNotExists, inaktiverad 1.0.0
Azure Defender för servrar ska vara aktiverat Azure Defender för servrar ger skydd mot hot i realtid för serverarbetsbelastningar och genererar härdningsrekommendationer samt aviseringar om misstänkta aktiviteter. AuditIfNotExists, inaktiverad 1.0.3
Azure Defender för SQL-servrar på datorer ska vara aktiverat Azure Defender för SQL tillhandahåller funktioner för att visa och minimera potentiella sårbarheter i databasen, identifiera avvikande aktiviteter som kan tyda på hot mot SQL-databaser och identifiera och klassificera känsliga data. AuditIfNotExists, inaktiverad 1.0.2
Azure Defender för SQL ska vara aktiverat för oskyddade Azure SQL-servrar Granska SQL-servrar utan Advanced Data Security AuditIfNotExists, inaktiverad 2.0.1
Azure Defender för SQL ska vara aktiverat för oskyddade SQL Managed Instances Granska varje SQL Managed Instance utan avancerad datasäkerhet. AuditIfNotExists, inaktiverad 1.0.2
Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad Microsoft Defender för containrar tillhandahåller molnbaserade Kubernetes-säkerhetsfunktioner, inklusive miljöhärdning, arbetsbelastningsskydd och körningsskydd. När du aktiverar SecurityProfile.AzureDefender i ditt Azure Kubernetes Service-kluster distribueras en agent till klustret för att samla in säkerhetshändelsedata. Läs mer om Microsoft Defender för containrar i https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Granskning, inaktiverad 2.0.1
Identifiera nätverkstjänster som inte har auktoriserats eller godkänts CMA_C1700 – Identifiera nätverkstjänster som inte har auktoriserats eller godkänts Manuell, inaktiverad 1.1.0
Styra och övervaka granskningsbearbetningsaktiviteter CMA_0289 – Styra och övervaka granskningsbearbetningsaktiviteter Manuell, inaktiverad 1.1.0
Microsoft Defender för containrar ska vara aktiverat Microsoft Defender för containrar ger härdning, sårbarhetsbedömning och körningsskydd för dina Azure-, hybrid- och kubernetes-miljöer i flera moln. AuditIfNotExists, inaktiverad 1.0.0
Microsoft Defender för Storage ska vara aktiverat Microsoft Defender för Storage identifierar potentiella hot mot dina lagringskonton. Det hjälper till att förhindra de tre stora effekterna på dina data och din arbetsbelastning: skadliga filuppladdningar, exfiltrering av känsliga data och skadade data. Den nya Defender for Storage-planen innehåller skanning av skadlig kod och hotidentifiering av känsliga data. Den här planen ger också en förutsägbar prisstruktur (per lagringskonto) för kontroll över täckning och kostnader. AuditIfNotExists, inaktiverad 1.0.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Windows Defender Exploit Guard ska vara aktiverat på dina datorer Windows Defender Exploit Guard använder Azure Policy-gästkonfigurationsagenten. Exploit Guard har fyra komponenter som är utformade för att låsa enheter mot en mängd olika attackvektorer och blockera beteenden som ofta används i attacker mot skadlig kod samtidigt som företag kan balansera sina krav på säkerhetsrisker och produktivitet (endast Windows). AuditIfNotExists, inaktiverad 2.0.0

Identifiering av säkerhetsincidenter

ID: SOC 2 Typ 2 CC7.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Granska och uppdatera principer och procedurer för incidenthantering CMA_C1352 – Granska och uppdatera principer och procedurer för incidenthantering Manuell, inaktiverad 1.1.0

Svar på säkerhetsincidenter

ID: SOC 2 Typ 2 CC7.4 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utvärdera informationssäkerhetshändelser CMA_0013 – Utvärdera informationssäkerhetshändelser Manuell, inaktiverad 1.1.0
Samordna beredskapsplaner med relaterade planer CMA_0086 – Samordna beredskapsplaner med relaterade planer Manuell, inaktiverad 1.1.0
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.1.0
Utveckla säkerhetsskydd CMA_0161 – Utveckla säkerhetsskydd Manuell, inaktiverad 1.1.0
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.2.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.1.0
Aktivera nätverksskydd CMA_0238 – Aktivera nätverksskydd Manuell, inaktiverad 1.1.0
Utrota kontaminerad information CMA_0253 – Utrota kontaminerad information Manuell, inaktiverad 1.1.0
Köra åtgärder som svar på informationsutsläpp CMA_0281 – Köra åtgärder som svar på informationsutsläpp Manuell, inaktiverad 1.1.0
Identifiera klasser av incidenter och åtgärder som vidtas CMA_C1365 – Identifiera klasser av incidenter och åtgärder som vidtas Manuell, inaktiverad 1.1.0
Implementera incidenthantering CMA_0318 – Implementera incidenthantering Manuell, inaktiverad 1.1.0
Inkludera dynamisk omkonfiguration av kunddistribuerade resurser CMA_C1364 – Inkludera dynamisk omkonfiguration av kunddistribuerade resurser Manuell, inaktiverad 1.1.0
Underhålla en plan för incidenthantering CMA_0352 – Underhålla en plan för incidenthantering Manuell, inaktiverad 1.1.0
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. AuditIfNotExists, inaktiverad 3.0.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1
Visa och undersöka begränsade användare CMA_0545 – Visa och undersöka begränsade användare Manuell, inaktiverad 1.1.0

Återställning från identifierade säkerhetsincidenter

ID: SOC 2 Typ 2 CC7.5 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utvärdera informationssäkerhetshändelser CMA_0013 – Utvärdera informationssäkerhetshändelser Manuell, inaktiverad 1.1.0
Utföra incidenthanteringstestning CMA_0060 – Utföra incidenthanteringstestning Manuell, inaktiverad 1.1.0
Samordna beredskapsplaner med relaterade planer CMA_0086 – Samordna beredskapsplaner med relaterade planer Manuell, inaktiverad 1.1.0
Samordna med externa organisationer för att uppnå ett övergripande organisationsperspektiv CMA_C1368 – Samordna med externa organisationer för att uppnå övergripande organisationsperspektiv Manuell, inaktiverad 1.1.0
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.1.0
Utveckla säkerhetsskydd CMA_0161 – Utveckla säkerhetsskydd Manuell, inaktiverad 1.1.0
E-postavisering för aviseringar med hög allvarlighetsgrad ska vara aktiverat Aktivera e-postaviseringar för aviseringar med hög allvarlighetsgrad i Security Center för att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer. AuditIfNotExists, inaktiverad 1.2.0
E-postavisering till prenumerationsägare för aviseringar med hög allvarlighetsgrad ska aktiveras För att säkerställa att dina prenumerationsägare meddelas när det finns en potentiell säkerhetsöverträdelse i prenumerationen anger du e-postaviseringar till prenumerationsägare för aviseringar med hög allvarlighetsgrad i Security Center. AuditIfNotExists, inaktiverad 2.1.0
Aktivera nätverksskydd CMA_0238 – Aktivera nätverksskydd Manuell, inaktiverad 1.1.0
Utrota kontaminerad information CMA_0253 – Utrota kontaminerad information Manuell, inaktiverad 1.1.0
Upprätta ett informationssäkerhetsprogram CMA_0263 – Upprätta ett informationssäkerhetsprogram Manuell, inaktiverad 1.1.0
Köra åtgärder som svar på informationsutsläpp CMA_0281 – Köra åtgärder som svar på informationsutsläpp Manuell, inaktiverad 1.1.0
Implementera incidenthantering CMA_0318 – Implementera incidenthantering Manuell, inaktiverad 1.1.0
Underhålla en plan för incidenthantering CMA_0352 – Underhålla en plan för incidenthantering Manuell, inaktiverad 1.1.0
Network Watcher ska vara aktiverat Network Watcher är en regional tjänst som gör att du kan övervaka och diagnostisera villkor på nätverksscenarionivå i, till och från Azure. Med övervakning på scenarionivå kan du diagnostisera problem i en vy på nätverksnivå från slutpunkt till slutpunkt. Det krävs att en resursgrupp för nätverksbevakare skapas i varje region där ett virtuellt nätverk finns. En avisering aktiveras om en resursgrupp för nätverksbevakare inte är tillgänglig i en viss region. AuditIfNotExists, inaktiverad 3.0.0
Utföra en trendanalys av hot CMA_0389 – Utföra en trendanalys av hot Manuell, inaktiverad 1.1.0
Köra simuleringsattacker CMA_0486 – Köra simuleringsattacker Manuell, inaktiverad 1.1.0
Prenumerationer bör ha en kontakt-e-postadress för säkerhetsproblem För att säkerställa att relevanta personer i din organisation meddelas när det finns ett potentiellt säkerhetsintrång i en av dina prenumerationer anger du att en säkerhetskontakt ska ta emot e-postaviseringar från Security Center. AuditIfNotExists, inaktiverad 1.0.1
Visa och undersöka begränsade användare CMA_0545 – Visa och undersöka begränsade användare Manuell, inaktiverad 1.1.0

Ändringshantering

Ändringar i infrastruktur, data och programvara

ID: SOC 2 Typ 2 CC8.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
[Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kan nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat. Granskning, inaktiverad 3.1.0-inaktuell
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Linux-datorer som stöds Installera gästattesteringstillägget på virtuella Linux-datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda starta och konfidentiella virtuella Linux-datorer. AuditIfNotExists, inaktiverad 6.0.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Linux-datorer som stöds Installera gästattesteringstillägget på linux-skalningsuppsättningar som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för vm-skalningsuppsättningar för betrodd start och konfidentiell Linux. AuditIfNotExists, inaktiverad 5.1.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på virtuella Windows-datorer som stöds Installera gästattesteringstillägget på virtuella datorer som stöds så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt. AuditIfNotExists, inaktiverad 4.0.0-preview
[Förhandsversion]: Gästattesteringstillägget ska installeras på skalningsuppsättningar för virtuella Windows-datorer som stöds Installera gästattesteringstillägget på skalningsuppsättningar som stöds för virtuella datorer så att Azure Security Center proaktivt kan intyga och övervaka startintegriteten. När den har installerats kommer startintegriteten att intygas via fjärrattestering. Den här utvärderingen gäller för betrodda start- och konfidentiella skalningsuppsättningar för virtuella Windows-datorer. AuditIfNotExists, inaktiverad 3.1.0-preview
[Förhandsversion]: Säker start ska vara aktiverat på virtuella Windows-datorer som stöds Aktivera säker start på virtuella Windows-datorer som stöds för att minimera skadliga och obehöriga ändringar i startkedjan. När det är aktiverat tillåts endast betrodda startladdare, kernel- och kerneldrivrutiner att köras. Den här utvärderingen gäller för betrodda virtuella Windows-datorer med start och konfidentiellt. Granskning, inaktiverad 4.0.0-preview
[Förhandsversion]: vTPM ska vara aktiverat på virtuella datorer som stöds Aktivera virtuell TPM-enhet på virtuella datorer som stöds för att underlätta uppmätt start och andra säkerhetsfunktioner för operativsystem som kräver en TPM. När det är aktiverat kan vTPM användas för att intyga startintegritet. Den här utvärderingen gäller endast för betrodda startaktiverade virtuella datorer. Granskning, inaktiverad 2.0.0-preview
App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. AuditIfNotExists, inaktiverad 1.0.0
App Service-appar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. AuditIfNotExists, inaktiverad 2.0.0
App Service-appar bör använda den senaste HTTP-versionen Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. AuditIfNotExists, inaktiverad 4.0.0
Granska virtuella datorer som inte använder hanterade diskar Den här principen granskar virtuella datorer som inte använder hanterade diskar granska 1.0.0
Azure Arc-aktiverade Kubernetes-kluster bör ha Azure Policy-tillägget installerat Azure Policy-tillägget för Azure Arc tillhandahåller skalbara tillämpningsåtgärder och skydd på dina Arc-aktiverade Kubernetes-kluster på ett centraliserat och konsekvent sätt. Läs mer på https://aka.ms/akspolicydoc. AuditIfNotExists, inaktiverad 1.1.0
Azure Policy-tillägg för Kubernetes-tjänsten (AKS) bör installeras och aktiveras i dina kluster Azure Policy-tillägget för Kubernetes-tjänsten (AKS) utökar Gatekeeper v3, en webhook för antagningskontrollanter för Open Policy Agent (OPA), för att tillämpa skalbara tillämpningsåtgärder och skydd på dina kluster på ett centraliserat och konsekvent sätt. Granskning, inaktiverad 1.0.2
Utföra en analys av säkerhetspåverkan CMA_0057 – Utföra en analys av säkerhetspåverkan Manuell, inaktiverad 1.1.0
Konfigurera åtgärder för inkompatibla enheter CMA_0062 – Konfigurera åtgärder för inkompatibla enheter Manuell, inaktiverad 1.1.0
Utveckla och underhålla en hantering av säkerhetsrisker standard CMA_0152 – Utveckla och underhålla en hantering av säkerhetsrisker standard Manuell, inaktiverad 1.1.0
Utveckla och underhålla baslinjekonfigurationer CMA_0153 – Utveckla och underhålla baslinjekonfigurationer Manuell, inaktiverad 1.1.0
Framtvinga inställningar för säkerhetskonfiguration CMA_0249 – Framtvinga inställningar för säkerhetskonfiguration Manuell, inaktiverad 1.1.0
Upprätta en kontrolltavla för konfiguration CMA_0254 – Upprätta en kontrolltavla för konfiguration Manuell, inaktiverad 1.1.0
Upprätta en riskhanteringsstrategi CMA_0258 – Upprätta en riskhanteringsstrategi Manuell, inaktiverad 1.1.0
Upprätta och dokumentera en konfigurationshanteringsplan CMA_0264 – Upprätta och dokumentera en konfigurationshanteringsplan Manuell, inaktiverad 1.1.0
Upprätta och dokumentera ändringskontrollprocesser CMA_0265 – Upprätta och dokumentera ändringskontrollprocesser Manuell, inaktiverad 1.1.0
Upprätta konfigurationshanteringskrav för utvecklare CMA_0270 – Upprätta konfigurationshanteringskrav för utvecklare Manuell, inaktiverad 1.1.0
Funktionsappar bör ha fjärrfelsökning inaktiverat Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. AuditIfNotExists, inaktiverad 2.0.0
Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. AuditIfNotExists, inaktiverad 2.0.0
Funktionsappar bör använda den senaste HTTP-versionen Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. AuditIfNotExists, inaktiverad 4.0.0
Gästkonfigurationstillägget ska installeras på dina datorer Installera gästkonfigurationstillägget för att säkerställa säkra konfigurationer av gästinställningar på datorn. Gästinställningar som tilläggsövervakarna inkluderar konfigurationen av operativsystemet, programkonfiguration eller närvaro samt miljöinställningar. När de har installerats är gästprinciper tillgängliga, till exempel "Windows Exploit guard ska vara aktiverat". Läs mer på https://aka.ms/gcpol. AuditIfNotExists, inaktiverad 1.0.3
Implementera ett automatiserat konfigurationshanteringsverktyg CMA_0311 – Implementera ett automatiserat konfigurationshanteringsverktyg Manuell, inaktiverad 1.1.0
Kubernetes-klustercontainrar CPU- och minnesresursgränser får inte överskrida de angivna gränserna Framtvinga cpu- och minnesresursgränser för containrar för att förhindra resursöverbelastningsattacker i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.3.0
Kubernetes-klustercontainrar bör inte dela värdprocess-ID eller värd-IPC-namnområde Blockera poddcontainrar från att dela värdprocess-ID-namnområdet och värd-IPC-namnområdet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.2 och CIS 5.2.3 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.2.0
Kubernetes-klustercontainrar bör endast använda tillåtna AppArmor-profiler Containrar bör endast använda tillåtna AppArmor-profiler i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Kubernetes-klustercontainrar bör endast använda tillåtna funktioner Begränsa funktionerna för att minska attackytan för containrar i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.8 och CIS 5.2.9 som är avsedda att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Kubernetes-klustercontainrar bör endast använda tillåtna avbildningar Använd bilder från betrodda register för att minska Kubernetes-klustrets exponeringsrisk för okända sårbarheter, säkerhetsproblem och skadliga bilder. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.3.0
Kubernetes-klustercontainrar ska köras med ett skrivskyddat rotfilsystem Kör containrar med ett skrivskyddat rotfilsystem för att skydda mot ändringar vid körning med skadliga binärfiler som läggs till i PATH i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.3.0
Kubernetes-klusterpoddens hostPath-volymer bör endast använda tillåtna värdsökvägar Begränsa poddens HostPath-volymmonteringar till tillåtna värdsökvägar i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Kubernetes-klusterpoddar och -containrar ska endast köras med godkända användar- och grupp-ID:er Kontrollera användar-, primärgrupp-, tilläggs- och filsystemgrupp-ID:t som poddar och containrar kan använda för att köras i ett Kubernetes-kluster. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Kubernetes-klusterpoddar bör endast använda godkänt värdnätverk och portintervall Begränsa poddåtkomsten till värdnätverket och det tillåtna värdportintervallet i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.4 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 6.2.0
Kubernetes-klustertjänster bör endast lyssna på tillåtna portar Begränsa tjänster till att endast lyssna på tillåtna portar för att skydda åtkomsten till Kubernetes-klustret. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 8.2.0
Kubernetes-kluster bör inte tillåta privilegierade containrar Tillåt inte att privilegierade containrar skapas i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.1 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 9.2.0
Kubernetes-kluster bör inaktivera automatisk inmontering av API-autentiseringsuppgifter Inaktivera automatisk inmontering av API-autentiseringsuppgifter för att förhindra att en potentiellt komprometterad poddresurs kör API-kommandon mot Kubernetes-kluster. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.2.0
Kubernetes-kluster bör inte tillåta eskalering av containerprivilegier Tillåt inte att containrar körs med behörighetseskalering till roten i ett Kubernetes-kluster. Den här rekommendationen är en del av CIS 5.2.5 som är avsedd att förbättra säkerheten i dina Kubernetes-miljöer. Den här principen är allmänt tillgänglig för Kubernetes Service (AKS) och förhandsversion för Azure Arc-aktiverade Kubernetes. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 7.2.0
Kubernetes-kluster bör inte bevilja CAP_SYS_ADMIN säkerhetsfunktioner Begränsa CAP_SYS_ADMIN Linux-funktioner för att minska angreppsytan för dina containrar. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 5.1.0
Kubernetes-kluster bör inte använda standardnamnområdet Förhindra användning av standardnamnområdet i Kubernetes-kluster för att skydda mot obehörig åtkomst för resurstyperna ConfigMap, Pod, Secret, Service och ServiceAccount. Mer information finns i https://aka.ms/kubepolicydoc. audit, Audit, deny, Deny, disabled, Disabled 4.2.0
Linux-datorer bör uppfylla kraven för Säkerhetsbaslinjen för Azure-beräkning Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. AuditIfNotExists, inaktiverad 2.2.0
Endast godkända VM-tillägg ska installeras Den här principen styr de tillägg för virtuella datorer som inte är godkända. Granska, neka, inaktiverad 1.0.0
Utföra en sekretesskonsekvensbedömning CMA_0387 – Utföra en sekretesskonsekvensbedömning Manuell, inaktiverad 1.1.0
Utföra en riskbedömning CMA_0388 – Utföra en riskbedömning Manuell, inaktiverad 1.1.0
Utföra granskning för konfigurationsändringskontroll CMA_0390 – Utföra granskning för konfigurationsändringskontroll Manuell, inaktiverad 1.1.0
Lagringskonton bör tillåta åtkomst från betrodda Microsoft-tjänster Vissa Microsoft-tjänster som interagerar med lagringskonton fungerar från nätverk som inte kan beviljas åtkomst via nätverksregler. Tillåt att uppsättningen betrodda Microsoft-tjänster kringgå nätverksreglerna för att hjälpa den här typen av tjänst att fungera som avsett. Dessa tjänster använder sedan stark autentisering för att komma åt lagringskontot. Granska, neka, inaktiverad 1.0.0
Gästkonfigurationstillägget för virtuella datorer ska distribueras med systemtilldelad hanterad identitet Gästkonfigurationstillägget kräver en systemtilldelad hanterad identitet. Virtuella Azure-datorer i omfånget för den här principen kommer att vara inkompatibla när gästkonfigurationstillägget är installerat men inte har någon systemtilldelad hanterad identitet. Läs mer på https://aka.ms/gcpol AuditIfNotExists, inaktiverad 1.0.1
Windows-datorer bör uppfylla kraven för Azure-beräkningssäkerhetsbaslinjen Kräver att förutsättningarna distribueras till principtilldelningsomfånget. Mer information finns i https://aka.ms/gcpol. Datorer är inkompatibla om datorn inte är korrekt konfigurerad för någon av rekommendationerna i Säkerhetsbaslinjen för Azure-beräkning. AuditIfNotExists, inaktiverad 2.0.0

Riskreducering

Riskreduceringsaktiviteter

ID: SOC 2 Typ 2 CC9.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Fastställa informationsskyddsbehov CMA_C1750 – Fastställa informationsskyddsbehov Manuell, inaktiverad 1.1.0
Upprätta en riskhanteringsstrategi CMA_0258 – Upprätta en riskhanteringsstrategi Manuell, inaktiverad 1.1.0
Utföra en riskbedömning CMA_0388 – Utföra en riskbedömning Manuell, inaktiverad 1.1.0

Leverantörer och affärspartners riskhantering

ID: SOC 2 Typ 2 CC9.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utvärdera risker i relationer från tredje part CMA_0014 – Utvärdera risker i relationer från tredje part Manuell, inaktiverad 1.1.0
Definiera krav för leverans av varor och tjänster CMA_0126 – Definiera krav för leverans av varor och tjänster Manuell, inaktiverad 1.1.0
Definiera uppgifter för processorer CMA_0127 – Definiera uppgifter för processorer Manuell, inaktiverad 1.1.0
Fastställa leverantörskontraktsförpliktelser CMA_0140 – Fastställa leverantörskontraktsförpliktelser Manuell, inaktiverad 1.1.0
Kriterier för godkännande av dokumentförvärvskontrakt CMA_0187 – Kriterier för godkännande av dokumentförvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentskydd av personuppgifter i förvärvsavtal CMA_0194 – Dokumentskydd av personuppgifter i förvärvsavtal Manuell, inaktiverad 1.1.0
Dokumentera skydd av säkerhetsinformation i förvärvsavtal CMA_0195 – Dokumentskydd av säkerhetsinformation i förvärvsavtal Manuell, inaktiverad 1.1.0
Dokumentkrav för användning av delade data i kontrakt CMA_0197 – Dokumentkrav för användning av delade data i kontrakt Manuell, inaktiverad 1.1.0
Dokumentera säkerhetskrav i förvärvskontrakt CMA_0199 – Dokumentera säkerhetskrav i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentsäkerhetsdokumentationskrav i förvärvskontrakt CMA_0200 – Dokumentera krav på säkerhetsdokumentation i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera funktionskrav för säkerhet i förvärvskontrakt CMA_0201 – Dokumentera säkerhetsfunktionskrav i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera krav på säkerhetsstyrka i förvärvskontrakt CMA_0203 – Dokumentera krav på säkerhetsstyrka i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera informationssystemmiljön i förvärvskontrakt CMA_0205 – Dokumentera informationssystemmiljön i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera skyddet av korthållardata i kontrakt från tredje part CMA_0207 – Dokumentera skyddet av korthållardata i tredjepartskontrakt Manuell, inaktiverad 1.1.0
Upprätta principer för riskhantering i leveranskedjan CMA_0275 – Upprätta principer för riskhantering i leveranskedjan Manuell, inaktiverad 1.1.0
Upprätta säkerhetskrav för personal från tredje part CMA_C1529 – Upprätta säkerhetskrav för tredje part Manuell, inaktiverad 1.1.0
Övervaka tredjepartsleverantörsefterlevnad CMA_C1533 – Övervaka tredjepartsleverantörsefterlevnad Manuell, inaktiverad 1.1.0
Registrera upplysningar om PII till tredje part CMA_0422 – Registrera upplysningar om PII till tredje part Manuell, inaktiverad 1.1.0
Kräv att tredjepartsleverantörer följer personalsäkerhetsprinciper och -procedurer CMA_C1530 – Kräv att tredjepartsleverantörer följer säkerhetsprinciper och procedurer för personal Manuell, inaktiverad 1.1.0
Utbilda personal om PII-delning och dess konsekvenser CMA_C1871 – Utbilda personal om PII-delning och dess konsekvenser Manuell, inaktiverad 1.1.0

Ytterligare villkor för sekretess

Sekretesspolicy

ID: SOC 2 Typ 2 P1.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Dokumentera och distribuera en sekretesspolicy CMA_0188 – Dokumentera och distribuera en sekretesspolicy Manuell, inaktiverad 1.1.0
Se till att sekretessprograminformation är offentligt tillgänglig CMA_C1867 – Se till att sekretessprograminformation är offentligt tillgänglig Manuell, inaktiverad 1.1.0
Implementera leveransmetoder för sekretessmeddelande CMA_0324 – Implementera leveransmetoder för sekretessmeddelande Manuell, inaktiverad 1.1.0
Ange sekretessmeddelande CMA_0414 – Ange sekretessmeddelande Manuell, inaktiverad 1.1.0
Lämna sekretessmeddelande till allmänheten och till enskilda användare CMA_C1861 – Ge sekretessmeddelande till allmänheten och enskilda personer Manuell, inaktiverad 1.1.0

ID: SOC 2 Typ 2 P2.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Dokumentera personalens godkännande av sekretesskrav CMA_0193 – Dokumentera personalens godkännande av sekretesskrav Manuell, inaktiverad 1.1.0
Implementera leveransmetoder för sekretessmeddelande CMA_0324 – Implementera leveransmetoder för sekretessmeddelande Manuell, inaktiverad 1.1.0
Få medgivande innan personuppgifter samlas in eller bearbetas CMA_0385 – Få medgivande innan personuppgifter samlas in eller bearbetas Manuell, inaktiverad 1.1.0
Ange sekretessmeddelande CMA_0414 – Ange sekretessmeddelande Manuell, inaktiverad 1.1.0

Konsekvent insamling av personlig information

ID: SOC 2 Typ 2 P3.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Fastställ juridisk auktoritet för att samla in PII CMA_C1800 – Fastställa juridisk auktoritet för att samla in PII Manuell, inaktiverad 1.1.0
Dokumentprocess för att säkerställa integriteten för PII CMA_C1827 – Dokumentprocess för att säkerställa integriteten i PII Manuell, inaktiverad 1.1.0
Utvärdera och granska PII-innehav regelbundet CMA_C1832 – Utvärdera och granska PII-innehav regelbundet Manuell, inaktiverad 1.1.0
Få medgivande innan personuppgifter samlas in eller bearbetas CMA_0385 – Få medgivande innan personuppgifter samlas in eller bearbetas Manuell, inaktiverad 1.1.0

ID: SOC 2 Typ 2 P3.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Samla in PII direkt från individen CMA_C1822 – Samla in PII direkt från individen Manuell, inaktiverad 1.1.0
Få medgivande innan personuppgifter samlas in eller bearbetas CMA_0385 – Få medgivande innan personuppgifter samlas in eller bearbetas Manuell, inaktiverad 1.1.0

Användning av personlig information

ID: SOC 2 Typ 2 P4.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Dokumentera den rättsliga grunden för behandling av personuppgifter CMA_0206 – Dokumentera den rättsliga grunden för behandling av personuppgifter Manuell, inaktiverad 1.1.0
Implementera leveransmetoder för sekretessmeddelande CMA_0324 – Implementera leveransmetoder för sekretessmeddelande Manuell, inaktiverad 1.1.0
Få medgivande innan personuppgifter samlas in eller bearbetas CMA_0385 – Få medgivande innan personuppgifter samlas in eller bearbetas Manuell, inaktiverad 1.1.0
Ange sekretessmeddelande CMA_0414 – Ange sekretessmeddelande Manuell, inaktiverad 1.1.0
Begränsa kommunikationen CMA_0449 – Begränsa kommunikationen Manuell, inaktiverad 1.1.0

Kvarhållning av personlig information

ID: SOC 2 Typ 2 P4.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Följ de definierade kvarhållningsperioderna CMA_0004 – Följ de kvarhållningsperioder som definierats Manuell, inaktiverad 1.1.0
Dokumentprocess för att säkerställa integriteten för PII CMA_C1827 – Dokumentprocess för att säkerställa integriteten i PII Manuell, inaktiverad 1.1.0

Bortskaffande av personlig information

ID: SOC 2 Typ 2 P4.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utföra borttagningsgranskning CMA_0391 – Utföra borttagningsgranskning Manuell, inaktiverad 1.1.0
Kontrollera att personliga data tas bort i slutet av bearbetningen CMA_0540 – Kontrollera att personuppgifter tas bort i slutet av bearbetningen Manuell, inaktiverad 1.1.0

Åtkomst till personlig information

ID: SOC 2 Typ 2 P5.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Implementera metoder för konsumentbegäranden CMA_0319 – Implementera metoder för konsumentbegäranden Manuell, inaktiverad 1.1.0
Publicera regler och förordningar med åtkomst till sekretesslagsposter CMA_C1847 – Publicera regler och förordningar med åtkomst till sekretesslagsposter Manuell, inaktiverad 1.1.0

Korrigering av personlig information

ID: SOC 2 Typ 2 P5.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Svara på begäranden om korrigering CMA_0442 – Svara på begäranden om korrigering Manuell, inaktiverad 1.1.0

Utlämnande av personuppgifter från tredje part

ID: SOC 2 Typ 2 P6.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Definiera uppgifter för processorer CMA_0127 – Definiera uppgifter för processorer Manuell, inaktiverad 1.1.0
Fastställa leverantörskontraktsförpliktelser CMA_0140 – Fastställa leverantörskontraktsförpliktelser Manuell, inaktiverad 1.1.0
Kriterier för godkännande av dokumentförvärvskontrakt CMA_0187 – Kriterier för godkännande av dokumentförvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentskydd av personuppgifter i förvärvsavtal CMA_0194 – Dokumentskydd av personuppgifter i förvärvsavtal Manuell, inaktiverad 1.1.0
Dokumentera skydd av säkerhetsinformation i förvärvsavtal CMA_0195 – Dokumentskydd av säkerhetsinformation i förvärvsavtal Manuell, inaktiverad 1.1.0
Dokumentkrav för användning av delade data i kontrakt CMA_0197 – Dokumentkrav för användning av delade data i kontrakt Manuell, inaktiverad 1.1.0
Dokumentera säkerhetskrav i förvärvskontrakt CMA_0199 – Dokumentera säkerhetskrav i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentsäkerhetsdokumentationskrav i förvärvskontrakt CMA_0200 – Dokumentera krav på säkerhetsdokumentation i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera funktionskrav för säkerhet i förvärvskontrakt CMA_0201 – Dokumentera säkerhetsfunktionskrav i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera krav på säkerhetsstyrka i förvärvskontrakt CMA_0203 – Dokumentera krav på säkerhetsstyrka i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera informationssystemmiljön i förvärvskontrakt CMA_0205 – Dokumentera informationssystemmiljön i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera skyddet av korthållardata i kontrakt från tredje part CMA_0207 – Dokumentera skyddet av korthållardata i tredjepartskontrakt Manuell, inaktiverad 1.1.0
Upprätta sekretesskrav för leverantörer och tjänsteleverantörer CMA_C1810 – Upprätta sekretesskrav för entreprenörer och tjänsteleverantörer Manuell, inaktiverad 1.1.0
Registrera upplysningar om PII till tredje part CMA_0422 – Registrera upplysningar om PII till tredje part Manuell, inaktiverad 1.1.0
Utbilda personal om PII-delning och dess konsekvenser CMA_C1871 – Utbilda personal om PII-delning och dess konsekvenser Manuell, inaktiverad 1.1.0

Auktoriserat utlämnande av personlig informationspost

ID: SOC 2 Typ 2 P6.2 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Hålla noggrann redovisning av upplysningar om information CMA_C1818 – Hålla noggrann redovisning av informationsupplysningar Manuell, inaktiverad 1.1.0

Obehörigt avslöjande av personlig informationspost

ID: SOC 2 Typ 2 P6.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Hålla noggrann redovisning av upplysningar om information CMA_C1818 – Hålla noggrann redovisning av informationsupplysningar Manuell, inaktiverad 1.1.0

Avtal från tredje part

ID: SOC 2 Typ 2 P6.4 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Definiera uppgifter för processorer CMA_0127 – Definiera uppgifter för processorer Manuell, inaktiverad 1.1.0

Meddelande om obehörigt avslöjande från tredje part

ID: SOC 2 Typ 2 P6.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Fastställa leverantörskontraktsförpliktelser CMA_0140 – Fastställa leverantörskontraktsförpliktelser Manuell, inaktiverad 1.1.0
Kriterier för godkännande av dokumentförvärvskontrakt CMA_0187 – Kriterier för godkännande av dokumentförvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentskydd av personuppgifter i förvärvsavtal CMA_0194 – Dokumentskydd av personuppgifter i förvärvsavtal Manuell, inaktiverad 1.1.0
Dokumentera skydd av säkerhetsinformation i förvärvsavtal CMA_0195 – Dokumentskydd av säkerhetsinformation i förvärvsavtal Manuell, inaktiverad 1.1.0
Dokumentkrav för användning av delade data i kontrakt CMA_0197 – Dokumentkrav för användning av delade data i kontrakt Manuell, inaktiverad 1.1.0
Dokumentera säkerhetskrav i förvärvskontrakt CMA_0199 – Dokumentera säkerhetskrav i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentsäkerhetsdokumentationskrav i förvärvskontrakt CMA_0200 – Dokumentera krav på säkerhetsdokumentation i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera funktionskrav för säkerhet i förvärvskontrakt CMA_0201 – Dokumentera säkerhetsfunktionskrav i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera krav på säkerhetsstyrka i förvärvskontrakt CMA_0203 – Dokumentera krav på säkerhetsstyrka i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera informationssystemmiljön i förvärvskontrakt CMA_0205 – Dokumentera informationssystemmiljön i förvärvskontrakt Manuell, inaktiverad 1.1.0
Dokumentera skyddet av korthållardata i kontrakt från tredje part CMA_0207 – Dokumentera skyddet av korthållardata i tredjepartskontrakt Manuell, inaktiverad 1.1.0
Informationssäkerhet och skydd av personuppgifter CMA_0332 – Informationssäkerhet och skydd av personuppgifter Manuell, inaktiverad 1.1.0

Meddelande om sekretessincident

ID: SOC 2 Typ 2 P6.6 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utveckla en plan för incidenthantering CMA_0145 – Utveckla en plan för incidenthantering Manuell, inaktiverad 1.1.0
Informationssäkerhet och skydd av personuppgifter CMA_0332 – Informationssäkerhet och skydd av personuppgifter Manuell, inaktiverad 1.1.0

Redovisning av utlämnande av personuppgifter

ID: SOC 2 Typ 2 P6.7 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Implementera leveransmetoder för sekretessmeddelande CMA_0324 – Implementera leveransmetoder för sekretessmeddelande Manuell, inaktiverad 1.1.0
Hålla noggrann redovisning av upplysningar om information CMA_C1818 – Hålla noggrann redovisning av informationsupplysningar Manuell, inaktiverad 1.1.0
Gör redovisning av upplysningar tillgängliga på begäran CMA_C1820 – Tillgängliggöra redovisning av upplysningar på begäran Manuell, inaktiverad 1.1.0
Ange sekretessmeddelande CMA_0414 – Ange sekretessmeddelande Manuell, inaktiverad 1.1.0
Begränsa kommunikationen CMA_0449 – Begränsa kommunikationen Manuell, inaktiverad 1.1.0

Kvalitet på personlig information

ID: SOC 2 Typ 2 P7.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Bekräfta kvalitet och integritet för PII CMA_C1821 – Bekräfta kvalitet och integritet för PII Manuell, inaktiverad 1.1.0
Utfärda riktlinjer för att säkerställa datakvalitet och integritet CMA_C1824 – Utfärda riktlinjer för att säkerställa datakvalitet och integritet Manuell, inaktiverad 1.1.0
Verifiera felaktig eller inaktuell PII CMA_C1823 – Verifiera felaktig eller inaktuell PII Manuell, inaktiverad 1.1.0

Hantering av sekretessklagomål och efterlevnadshantering

ID: SOC 2 Typ 2 P8.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Dokumentera och implementera procedurer för sekretessklagomål CMA_0189 – Dokumentera och implementera sekretessklagomål Manuell, inaktiverad 1.1.0
Utvärdera och granska PII-innehav regelbundet CMA_C1832 – Utvärdera och granska PII-innehav regelbundet Manuell, inaktiverad 1.1.0
Informationssäkerhet och skydd av personuppgifter CMA_0332 – Informationssäkerhet och skydd av personuppgifter Manuell, inaktiverad 1.1.0
Svara på klagomål, problem eller frågor i tid CMA_C1853 – Svara på klagomål, problem eller frågor i tid Manuell, inaktiverad 1.1.0
Utbilda personal om PII-delning och dess konsekvenser CMA_C1871 – Utbilda personal om PII-delning och dess konsekvenser Manuell, inaktiverad 1.1.0

Ytterligare kriterier för bearbetningsintegritet

Definitioner för databearbetning

ID: SOC 2 Typ 2 PI1.1 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Implementera leveransmetoder för sekretessmeddelande CMA_0324 – Implementera leveransmetoder för sekretessmeddelande Manuell, inaktiverad 1.1.0
Ange sekretessmeddelande CMA_0414 – Ange sekretessmeddelande Manuell, inaktiverad 1.1.0
Begränsa kommunikationen CMA_0449 – Begränsa kommunikationen Manuell, inaktiverad 1.1.0

Systemindata över fullständighet och noggrannhet

ID: SOC 2 Typ 2 PI1.2 Ägarskap: Delat

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Utföra verifiering av informationsindata CMA_C1723 – Utföra verifiering av informationsindata Manuell, inaktiverad 1.1.0

Systembearbetning

ID: SOC 2 Typ 2 PI1.3 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Kontrollera fysisk åtkomst CMA_0081 – Kontrollera fysisk åtkomst Manuell, inaktiverad 1.1.0
Generera felmeddelanden CMA_C1724 – Generera felmeddelanden Manuell, inaktiverad 1.1.0
Hantera indata, utdata, bearbetning och lagring av data CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data Manuell, inaktiverad 1.1.0
Utföra verifiering av informationsindata CMA_C1723 – Utföra verifiering av informationsindata Manuell, inaktiverad 1.1.0
Granska etikettaktivitet och analys CMA_0474 – Granska etikettaktivitet och analys Manuell, inaktiverad 1.1.0

Systemets utdata är fullständiga, korrekta och kommer i rätt tid

ID: SOC 2 Typ 2 PI1.4 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Kontrollera fysisk åtkomst CMA_0081 – Kontrollera fysisk åtkomst Manuell, inaktiverad 1.1.0
Hantera indata, utdata, bearbetning och lagring av data CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data Manuell, inaktiverad 1.1.0
Granska etikettaktivitet och analys CMA_0474 – Granska etikettaktivitet och analys Manuell, inaktiverad 1.1.0

Lagra indata och utdata helt, korrekt och i rätt tid

ID: SOC 2 Typ 2 PI1.5 Ägarskap: Delad

Name
(Azure Portal)
beskrivning Effekter Version
(GitHub)
Azure Backup ska vara aktiverat för virtuella datorer Skydda dina virtuella Azure-datorer genom att aktivera Azure Backup. Azure Backup är en säker och kostnadseffektiv dataskyddslösning för Azure. AuditIfNotExists, inaktiverad 3.0.0
Kontrollera fysisk åtkomst CMA_0081 – Kontrollera fysisk åtkomst Manuell, inaktiverad 1.1.0
Upprätta principer och procedurer för säkerhetskopiering CMA_0268 – Upprätta principer och procedurer för säkerhetskopiering Manuell, inaktiverad 1.1.0
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MariaDB Med Azure Database for MariaDB kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering ska vara aktiverat för Azure Database for MySQL Med Azure Database for MySQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Geo-redundant säkerhetskopiering bör aktiveras för Azure Database for PostgreSQL Med Azure Database for PostgreSQL kan du välja redundansalternativet för databasservern. Den kan ställas in på en geo-redundant lagring där data inte bara lagras i den region där servern finns, utan också replikeras till en länkad region för att tillhandahålla återställningsalternativ vid ett regionfel. Konfiguration av geo-redundant lagring av säkerhetskopior tillåts endast under skapandet av servern. Granskning, inaktiverad 1.0.1
Implementera kontroller för att skydda alla medier CMA_0314 – Implementera kontroller för att skydda alla medier Manuell, inaktiverad 1.1.0
Hantera indata, utdata, bearbetning och lagring av data CMA_0369 – Hantera indata, utdata, bearbetning och lagring av data Manuell, inaktiverad 1.1.0
Granska etikettaktivitet och analys CMA_0474 – Granska etikettaktivitet och analys Manuell, inaktiverad 1.1.0
Lagra säkerhetskopieringsinformation separat CMA_C1293 – Lagra säkerhetskopieringsinformation separat Manuell, inaktiverad 1.1.0

Nästa steg

Ytterligare artiklar om Azure Policy: