你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

CIS Microsoft Azure 基础基准 1.1.0 法规符合性内置计划的详细信息

下文详细说明了 Azure Policy 法规符合性内置计划定义如何映射到 CIS Microsoft Azure 基础基准 1.1.0 的符合性域和控制措施 。 有关此符合性标准的详细信息,请参阅 CIS Microsoft Azure 基础基准 1.1.0。 如需了解所有权,请查看策略类型云中责任分担

以下映射适用于 CIS Microsoft Azure 基础基准 1.1.0 控制措施。 许多控制措施都是使用 Azure Policy 计划定义实现的。 若要查看完整计划定义,请在 Azure 门户中打开“策略”,并选择“定义”页 。 然后,请查找并选择 CIS Microsoft Azure 基础基准 v1.1.0 法规符合性内置计划定义。

重要

下面的每个控件都与一个或多个 Azure Policy 定义关联。 这些策略有助于评估控制的合规性;但是,控制与一个或多个策略之间通常不是一对一或完全匹配。 因此,Azure Policy 中的符合性仅引用策略定义本身;这并不能确保你完全符合某个控制措施的所有要求。 此外,符合性标准包含目前未由任何 Azure Policy 定义处理的控件。 因此,Azure Policy 中的符合性只是整体符合性状态的部分视图。 此符合性标准的符合性域、控制措施和 Azure Policy 定义之间的关联可能会随着时间的推移而发生变化。 若要查看更改历史记录,请参阅 GitHub 提交历史记录

1 标识和访问管理

确保为所有特权用户启用多重身份验证

ID:CIS Microsoft Azure 基础基准建议 1.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
对 Azure 资源拥有所有者权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有所有者权限的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
对 Azure 资源拥有写入权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有写入特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
采用生物识别身份验证机制 CMA_0005 - 采用生物识别身份验证机制 手动、已禁用 1.1.0

ID:CIS Microsoft Azure 基础基准建议 1.10;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0

确保“用户可以注册应用程序”设置为“否”

ID:CIS Microsoft Azure 基础基准建议 1.11;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0

确保“来宾用户权限受到限制”设置为“是”

ID:CIS Microsoft Azure 基础基准建议 1.12;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
设计访问控制模型 CMA_0129 - 设计访问控制模型 手动、已禁用 1.1.0
采用最小特权访问 CMA_0212 - 采用最小特权访问 手动、已禁用 1.1.0
强制执行逻辑访问 CMA_0245 - 强制执行逻辑访问 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
需要批准才能创建帐户 CMA_0431 - 需要批准才能创建帐户 手动、已禁用 1.1.0
查看有权访问敏感数据的用户组和应用程序 CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 手动、已禁用 1.1.0

确保“成员可以邀请”设置为“否”

ID:CIS Microsoft Azure 基础基准建议 1.13;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
设计访问控制模型 CMA_0129 - 设计访问控制模型 手动、已禁用 1.1.0
采用最小特权访问 CMA_0212 - 采用最小特权访问 手动、已禁用 1.1.0
强制执行逻辑访问 CMA_0245 - 强制执行逻辑访问 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
需要批准才能创建帐户 CMA_0431 - 需要批准才能创建帐户 手动、已禁用 1.1.0
查看有权访问敏感数据的用户组和应用程序 CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 手动、已禁用 1.1.0

确保“来宾可以邀请”设置为“否”

ID:CIS Microsoft Azure 基础基准建议 1.14;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
设计访问控制模型 CMA_0129 - 设计访问控制模型 手动、已禁用 1.1.0
采用最小特权访问 CMA_0212 - 采用最小特权访问 手动、已禁用 1.1.0
强制执行逻辑访问 CMA_0245 - 强制执行逻辑访问 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
需要批准才能创建帐户 CMA_0431 - 需要批准才能创建帐户 手动、已禁用 1.1.0
查看有权访问敏感数据的用户组和应用程序 CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 手动、已禁用 1.1.0

确保“限制对 Azure AD 管理门户的访问”设置为“是”

ID:CIS Microsoft Azure 基础基准建议 1.15;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制执行逻辑访问 CMA_0245 - 强制执行逻辑访问 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0
需要批准才能创建帐户 CMA_0431 - 需要批准才能创建帐户 手动、已禁用 1.1.0
查看有权访问敏感数据的用户组和应用程序 CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 手动、已禁用 1.1.0

确保“自助服务组管理已启用”设置为“否”

ID:CIS Microsoft Azure 基础基准建议 1.16;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0

确保“用户可以创建安全组”设置为“否”

ID:CIS Microsoft Azure 基础基准建议 1.17;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0

确保“可管理安全组的用户”设置为“无”

ID:CIS Microsoft Azure 基础基准建议 1.18;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0

确保“用户可以创建 Office 365 组”设置为“否”

ID:CIS Microsoft Azure 基础基准建议 1.19;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0

确保为所有非特权用户启用多重身份验证

ID:CIS Microsoft Azure 基础基准建议 1.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
对 Azure 资源拥有读取权限的帐户应启用 MFA 为了防止帐户或资源出现违规问题,应为所有拥有读取特权的订阅帐户启用多重身份验证 (MFA)。 AuditIfNotExists、Disabled 1.0.0
采用生物识别身份验证机制 CMA_0005 - 采用生物识别身份验证机制 手动、已禁用 1.1.0

确保“可管理 Office 365 组的用户”设置为“无”

ID:CIS Microsoft Azure 基础基准建议 1.20;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0

确保“需要进行多重身份验证才能联接设备”设置为“是”

ID:CIS Microsoft Azure 基础基准建议 1.22;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
采用生物识别身份验证机制 CMA_0005 - 采用生物识别身份验证机制 手动、已禁用 1.1.0
授权远程访问 CMA_0024 - 授权远程访问 手动、已禁用 1.1.0
记录移动性培训 CMA_0191 - 记录移动性培训 手动、已禁用 1.1.0
记录远程访问准则 CMA_0196 - 记录远程访问准则 手动、已禁用 1.1.0
标识并验证网络设备 CMA_0296 - 标识并验证网络设备 手动、已禁用 1.1.0
实施控制措施来保护备用工作站点 CMA_0315 - 实施控制措施来保护备用工作站点 手动、已禁用 1.1.0
提供隐私培训 CMA_0415 - 提供隐私培训 手动、已禁用 1.1.0
满足令牌质量要求 CMA_0487 - 满足令牌质量要求 手动、已禁用 1.1.0

确保未创建任何自定义订阅所有者角色

ID:CIS Microsoft Azure 基础基准建议 1.23;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
设计访问控制模型 CMA_0129 - 设计访问控制模型 手动、已禁用 1.1.0
采用最小特权访问 CMA_0212 - 采用最小特权访问 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0

确保没有任何来宾用户

ID:CIS Microsoft Azure 基础基准建议 1.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
应删除对 Azure 资源拥有所有者权限的来宾帐户 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 AuditIfNotExists、Disabled 1.0.0
应删除对 Azure 资源拥有读取权限的来宾帐户 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 1.0.0
应删除对 Azure 资源拥有写入权限的来宾帐户 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 AuditIfNotExists、Disabled 1.0.0
根据需要重新分配或移除用户权限 CMA_C1040 - 根据需要重新分配或移除用户权限 手动、已禁用 1.1.0
查看帐户预配日志 CMA_0460 - 查看帐户预配日志 手动、已禁用 1.1.0
审查用户帐户 CMA_0480 - 审查用户帐户 手动、已禁用 1.1.0
查看用户权限 CMA_C1039 - 查看用户权限 手动、已禁用 1.1.0

确保“允许用户在其信任的设备上记住多重身份验证”设置为“禁用”

ID:CIS Microsoft Azure 基础基准建议 1.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
采用生物识别身份验证机制 CMA_0005 - 采用生物识别身份验证机制 手动、已禁用 1.1.0
标识并验证网络设备 CMA_0296 - 标识并验证网络设备 手动、已禁用 1.1.0
满足令牌质量要求 CMA_0487 - 满足令牌质量要求 手动、已禁用 1.1.0

确保“要求用户重新确认其身份验证信息之前的天数”设为“0”

ID:CIS Microsoft Azure 基础基准建议 1.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
自动执行帐户管理 CMA_0026 - 自动执行帐户管理 手动、已禁用 1.1.0
管理系统和管理员帐户 CMA_0368 - 管理系统和管理员帐户 手动、已禁用 1.1.0
监视整个组织的访问权限 CMA_0376 - 监视整个组织的访问权限 手动、已禁用 1.1.0
当不需要帐户时通知 CMA_0383 - 当不需要帐户时通知 手动、已禁用 1.1.0

确保“重置密码时通知用户?” 设置为“是”

ID:CIS Microsoft Azure 基础基准建议 1.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
自动执行帐户管理 CMA_0026 - 自动执行帐户管理 手动、已禁用 1.1.0
进行验证器保护培训 CMA_0329 - 进行验证器保护的培训 手动、已禁用 1.1.0
管理系统和管理员帐户 CMA_0368 - 管理系统和管理员帐户 手动、已禁用 1.1.0
监视整个组织的访问权限 CMA_0376 - 监视整个组织的访问权限 手动、已禁用 1.1.0
当不需要帐户时通知 CMA_0383 - 当不需要帐户时通知 手动、已禁用 1.1.0

确保“当其他管理员重置其密码时通知所有管理员?” 设置为“是”

ID:CIS Microsoft Azure 基础基准建议 1.8;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
自动执行帐户管理 CMA_0026 - 自动执行帐户管理 手动、已禁用 1.1.0
进行验证器保护培训 CMA_0329 - 进行验证器保护的培训 手动、已禁用 1.1.0
管理系统和管理员帐户 CMA_0368 - 管理系统和管理员帐户 手动、已禁用 1.1.0
监视整个组织的访问权限 CMA_0376 - 监视整个组织的访问权限 手动、已禁用 1.1.0
监视特权角色分配 CMA_0378 - 监视特权角色分配 手动、已禁用 1.1.0
当不需要帐户时通知 CMA_0383 - 当不需要帐户时通知 手动、已禁用 1.1.0
限制对特权帐户的访问 CMA_0446 - 限制对特权帐户的访问权限 手动、已禁用 1.1.0
根据需要撤销特权角色 CMA_0483 - 根据需要撤销特权角色 手动、已禁用 1.1.0
使用特权标识管理 CMA_0533 - 使用特权标识管理 手动、已禁用 1.1.0

ID:CIS Microsoft Azure 基础基准建议 1.9;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0

2 安全中心

确保已选择标准定价层

ID:CIS Microsoft Azure 基础基准建议 2.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用适用于应用服务的 Azure Defender 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 AuditIfNotExists、Disabled 1.0.3
应启用适用于 Azure SQL 数据库服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
应启用 Azure Defender for Key Vault 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 AuditIfNotExists、Disabled 1.0.3
应启用适用于服务器的 Azure Defender 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 AuditIfNotExists、Disabled 1.0.3
应启用适用于计算机上的 SQL 服务器的 Azure Defender Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 AuditIfNotExists、Disabled 1.0.2
阻止从 USB 运行不受信任和未签名的进程 CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 手动、已禁用 1.1.0
检测尚未授权或批准的网络服务 CMA_C1700 - 检测尚未授权或批准的网络服务 手动、已禁用 1.1.0
管理网关 CMA_0363 - 管理网关 手动、已禁用 1.1.0
应启用 Microsoft Defender for Containers Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 AuditIfNotExists、Disabled 1.0.0
应启用适用于存储的 Microsoft Defender Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 AuditIfNotExists、Disabled 1.0.0
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
每周查看恶意软件检测报告 CMA_0475 - 每周查看恶意软件检测报告 手动、已禁用 1.1.0
每周查看威胁防护状态 CMA_0479 - 每周查看威胁防护状态 手动、已禁用 1.1.0
更新防病毒定义 CMA_0517 - 更新防病毒定义 手动、已禁用 1.1.0

确保 ASC 默认策略设置“监视漏洞评估”不是处于“已禁用”状态

ID:CIS Microsoft Azure 基础基准建议 2.10;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应在虚拟机上启用漏洞评估解决方案 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 AuditIfNotExists、Disabled 3.0.0

确保 ASC 默认策略设置“监视存储 Blob 加密”不是处于“已禁用”状态

ID:CIS Microsoft Azure 基础基准建议 2.11;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0

确保 ASC 默认策略设置“监视 JIT 网络访问”不是处于“已禁用”状态

ID:CIS Microsoft Azure 基础基准建议 2.12;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
检测尚未授权或批准的网络服务 CMA_C1700 - 检测尚未授权或批准的网络服务 手动、已禁用 1.1.0
应通过即时网络访问控制来保护虚拟机的管理端口 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 AuditIfNotExists、Disabled 3.0.0

确保 ASC 默认策略设置“监视 SQL 审核”不是处于“已禁用”状态

ID:CIS Microsoft Azure 基础基准建议 2.14;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
应启用 SQL 服务器上的审核 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 AuditIfNotExists、Disabled 2.0.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保 ASC 默认策略设置“监视 SQL 加密”不是处于“已禁用”状态

ID:CIS Microsoft Azure 基础基准建议 2.15;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0
应在 SQL 数据库上启用透明数据加密 应启用透明数据加密以保护静态数据并满足符合性要求 AuditIfNotExists、Disabled 2.0.0

确保已设置“安全联系人电子邮件”

ID:CIS Microsoft Azure 基础基准建议 2.16;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
订阅应有一个联系人电子邮件地址,用于接收安全问题通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 AuditIfNotExists、Disabled 1.0.1

确保将“发送高严重性警报的电子邮件通知”设置为“打开”

ID:CIS Microsoft Azure 基础基准建议 2.18;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用高严重性警报的电子邮件通知 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 AuditIfNotExists、Disabled 1.2.0

确保将“同时将电子邮件发送给订阅所有者”设置为“打开”

ID:CIS Microsoft Azure 基础基准建议 2.19;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用向订阅所有者发送高严重性警报的电子邮件通知 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 AuditIfNotExists、Disabled 2.1.0

确保“监视代理的自动预配”设置为“打开”

ID:CIS Microsoft Azure 基础基准建议 2.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
记录安全操作 CMA_0202 - 记录安全操作 手动、已禁用 1.1.0
打开终结点安全解决方案的传感器 CMA_0514 - 打开终结点安全解决方案的传感器 手动、已禁用 1.1.0

确保 ASC 默认策略设置“监视系统更新”不是处于“已禁用”状态

ID:CIS Microsoft Azure 基础基准建议 2.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

确保 ASC 默认策略设置“监视 OS 漏洞”不是处于“已禁用”状态

ID:CIS Microsoft Azure 基础基准建议 2.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0
应修复计算机上安全配置中的漏洞 建议通过 Azure 安全中心监视不满足配置的基线的服务器 AuditIfNotExists、Disabled 3.1.0

确保 ASC 默认策略设置“监视 Endpoint Protection”不是处于“已禁用”状态

ID:CIS Microsoft Azure 基础基准建议 2.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
阻止从 USB 运行不受信任和未签名的进程 CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 手动、已禁用 1.1.0
管理网关 CMA_0363 - 管理网关 手动、已禁用 1.1.0
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
每周查看恶意软件检测报告 CMA_0475 - 每周查看恶意软件检测报告 手动、已禁用 1.1.0
每周查看威胁防护状态 CMA_0479 - 每周查看威胁防护状态 手动、已禁用 1.1.0
更新防病毒定义 CMA_0517 - 更新防病毒定义 手动、已禁用 1.1.0

确保 ASC 默认策略设置“监视磁盘加密”不是处于“已禁用”状态

ID:CIS Microsoft Azure 基础基准建议 2.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0

确保 ASC 默认策略设置“监视网络安全组”不是处于“已禁用”状态

ID:CIS Microsoft Azure 基础基准建议 2.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
控制信息流 CMA_0079 - 控制信息流 手动、已禁用 1.1.0
采用加密信息的流控制机制 CMA_0211 - 采用加密信息的流控制机制 手动、已禁用 1.1.0

确保 ASC 默认策略设置“监视 Web 应用程序防火墙”不是处于“已禁用”状态

ID:CIS Microsoft Azure 基础基准建议 2.8;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
控制信息流 CMA_0079 - 控制信息流 手动、已禁用 1.1.0
采用加密信息的流控制机制 CMA_0211 - 采用加密信息的流控制机制 手动、已禁用 1.1.0

确保 ASC 默认策略设置“启用下一代防火墙(NGFW)监视”不是处于“已禁用”状态

ID:CIS Microsoft Azure 基础基准建议 2.9;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
控制信息流 CMA_0079 - 控制信息流 手动、已禁用 1.1.0
采用加密信息的流控制机制 CMA_0211 - 采用加密信息的流控制机制 手动、已禁用 1.1.0
面向 Internet 的虚拟机应使用网络安全组进行保护 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 如需详细了解如何使用 NSG 控制流量,请访问 https://aka.ms/nsg-doc AuditIfNotExists、Disabled 3.0.0
子网应与网络安全组关联 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 AuditIfNotExists、Disabled 3.0.0

3 存储帐户

确保“需要安全传输”设置为“已启用”

ID:CIS Microsoft Azure 基础基准建议 3.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
配置工作站以检查数字证书 CMA_0073 - 配置工作站以检查数字证书 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
使用加密保护密码 CMA_0408 - 使用加密保护密码 手动、已禁用 1.1.0
应启用安全传输到存储帐户 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 Audit、Deny、Disabled 2.0.0

确保定期重新生成存储帐户访问密钥

ID:CIS Microsoft Azure 基础基准建议 3.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
定义物理密钥管理流程 CMA_0115 - 定义物理密钥管理流程 手动、已禁用 1.1.0
定义加密使用 CMA_0120 - 定义加密使用 手动、已禁用 1.1.0
定义加密密钥管理的组织要求 CMA_0123 - 定义加密密钥管理的组织要求 手动、已禁用 1.1.0
确定断言要求 CMA_0136 - 确定断言要求 手动、已禁用 1.1.0
颁发公钥证书 CMA_0347 - 颁发公钥证书 手动、已禁用 1.1.0
管理对称加密密钥 CMA_0367 - 管理对称加密密钥 手动、已禁用 1.1.0
限制对私钥的访问 CMA_0445 - 限制对私钥的访问权限 手动、已禁用 1.1.0

确保为队列服务启用存储日志记录,用于读取、写入和删除请求

ID:CIS Microsoft Azure 基础基准建议 3.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
配置 Azure 审核功能 CMA_C1108 - 配置 Azure 审核功能 手动、已禁用 1.1.1
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保共享访问签名令牌在一小时内过期

ID:CIS Microsoft Azure 基础基准建议 3.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
终止时禁用验证器 CMA_0169 - 终止时禁用验证器 手动、已禁用 1.1.0
根据需要撤销特权角色 CMA_0483 - 根据需要撤销特权角色 手动、已禁用 1.1.0
自动终止用户会话 CMA_C1054 - 自动终止用户会话 手动、已禁用 1.1.0

确保仅通过 HTTPS 允许共享访问签名令牌

ID:CIS Microsoft Azure 基础基准建议 3.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
配置工作站以检查数字证书 CMA_0073 - 配置工作站以检查数字证书 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
使用加密保护密码 CMA_0408 - 使用加密保护密码 手动、已禁用 1.1.0

确保为 Blob 容器将“公共访问级别”设置为“专用”

ID:CIS Microsoft Azure 基础基准建议 3.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:应禁止存储帐户公共访问 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 audit、Audit、deny、Deny、disabled、Disabled 3.1.0-preview
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制执行逻辑访问 CMA_0245 - 强制执行逻辑访问 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
需要批准才能创建帐户 CMA_0431 - 需要批准才能创建帐户 手动、已禁用 1.1.0
查看有权访问敏感数据的用户组和应用程序 CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 手动、已禁用 1.1.0

确保将针对存储帐户的默认网络访问规则设置为“拒绝”

ID:CIS Microsoft Azure 基础基准建议 3.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应限制对存储帐户的网络访问 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 Audit、Deny、Disabled 1.1.1

确保启用“受信任的 Microsoft 服务”来访问存储帐户

ID:CIS Microsoft Azure 基础基准建议 3.8;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
控制信息流 CMA_0079 - 控制信息流 手动、已禁用 1.1.0
采用加密信息的流控制机制 CMA_0211 - 采用加密信息的流控制机制 手动、已禁用 1.1.0
建立防火墙和路由器配置标准 CMA_0272 - 建立防火墙和路由器配置标准 手动、已禁用 1.1.0
为持卡人数据环境建立网络分段 CMA_0273 - 为持卡人数据环境建立网络分段 手动、已禁用 1.1.0
标识和管理下游信息交换 CMA_0298 - 标识和管理下游信息交换 手动、已禁用 1.1.0
存储帐户应允许从受信任的 Microsoft 服务进行访问 某些与存储帐户交互的 Microsoft 服务在网络上运行,但这些网络无法通过网络规则获得访问权限。 若要帮助此类服务按预期方式工作,请允许受信任的 Microsoft 服务集绕过网络规则。 这些服务随后会使用强身份验证访问存储帐户。 Audit、Deny、Disabled 1.0.0

4 数据库服务

确保“审核”设置为“打开”

ID:CIS Microsoft Azure 基础基准建议 4.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
应启用 SQL 服务器上的审核 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 AuditIfNotExists、Disabled 2.0.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保使用 BYOK(使用自己的密钥)加密 SQL 服务器的 TDE 保护器

ID:CIS Microsoft Azure 基础基准建议 4.10;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0
SQL 托管实例应使用客户管理的密钥进行静态数据加密 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 Audit、Deny、Disabled 2.0.0
SQL Server 应使用客户管理的密钥进行静态数据加密 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 Audit、Deny、Disabled 2.0.1

确保 MySQL 数据库服务器的“强制 SSL 连接”设置为“已启用”

ID:CIS Microsoft Azure 基础基准建议 4.11;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
配置工作站以检查数字证书 CMA_0073 - 配置工作站以检查数字证书 手动、已禁用 1.1.0
应为 MySQL 数据库服务器启用“强制 SSL 连接” Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 Audit、Disabled 1.0.1
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
使用加密保护密码 CMA_0408 - 使用加密保护密码 手动、已禁用 1.1.0

确保 PostgreSQL 数据库服务器的服务器参数“log_checkpoints”设置为“ON”

ID:CIS Microsoft Azure 基础基准建议 4.12;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
应为 PostgreSQL 数据库服务器启用“记录检查点” 此策略帮助审核环境中任何未启用 log_checkpoints 设置的 PostgreSQL 数据库。 AuditIfNotExists、Disabled 1.0.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保 PostgreSQL 数据库服务器的“强制 SSL 连接”设置为“已启用”

ID:CIS Microsoft Azure 基础基准建议 4.13;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
配置工作站以检查数字证书 CMA_0073 - 配置工作站以检查数字证书 手动、已禁用 1.1.0
应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 Audit、Disabled 1.0.1
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
使用加密保护密码 CMA_0408 - 使用加密保护密码 手动、已禁用 1.1.0

确保 PostgreSQL 数据库服务器的服务器参数“log_connections”设置为“ON”

ID:CIS Microsoft Azure 基础基准建议 4.14;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
应为 PostgreSQL 数据库服务器启用“记录连接” 此策略帮助审核环境中任何未启用 log_connections 设置的 PostgreSQL 数据库。 AuditIfNotExists、Disabled 1.0.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保 PostgreSQL 数据库服务器的服务器参数“log_disconnections”设置为“ON”

ID:CIS Microsoft Azure 基础基准建议 4.15;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
应为 PostgreSQL 数据库服务器记录断开连接 此策略帮助审核环境中任何未启用 log_disconnections 的 PostgreSQL 数据库。 AuditIfNotExists、Disabled 1.0.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保 PostgreSQL 数据库服务器的服务器参数“log_duration”设置为“ON”

ID:CIS Microsoft Azure 基础基准建议 4.16;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保 PostgreSQL 数据库服务器的服务器参数“connection_throttling”设置为“ON”

ID:CIS Microsoft Azure 基础基准建议 4.17;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
应为 PostgreSQL 数据库服务器启用连接限制 此策略帮助审核环境中任何未启用连接限制的 PostgreSQL 数据库。 无效密码登录失败次数过多时,可以使用此设置来按 IP 限制临时连接。 AuditIfNotExists、Disabled 1.0.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保 PostgreSQL 数据库服务器的服务器参数“log_retention_days”大于 3 天

ID:CIS Microsoft Azure 基础基准建议 4.18;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
遵守定义的保持期 CMA_0004 - 遵守定义的保持期 手动、已禁用 1.1.0
治理并监视审核处理活动 CMA_0289 - 治理并监视审核处理活动 手动、已禁用 1.1.0
保留安全策略和过程 CMA_0454 - 保留安全策略和过程 手动、已禁用 1.1.0
保留终止的用户数据 CMA_0455 - 保留终止的用户数据 手动、已禁用 1.1.0

确保配置 Azure Active Directory 管理员

ID:CIS Microsoft Azure 基础基准建议 4.19;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
自动执行帐户管理 CMA_0026 - 自动执行帐户管理 手动、已禁用 1.1.0
管理系统和管理员帐户 CMA_0368 - 管理系统和管理员帐户 手动、已禁用 1.1.0
监视整个组织的访问权限 CMA_0376 - 监视整个组织的访问权限 手动、已禁用 1.1.0
当不需要帐户时通知 CMA_0383 - 当不需要帐户时通知 手动、已禁用 1.1.0

确保在“审核”策略中为 SQL 服务器正确设置“AuditActionGroups”

ID:CIS Microsoft Azure 基础基准建议 4.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0
SQL 审核设置中应包含配置为捕获关键活动的操作组 AuditActionsAndGroups 属性应至少包含 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP 以确保全面审核日志记录 AuditIfNotExists、Disabled 1.0.0

确保审核保留期“大于 90 天”

ID:CIS Microsoft Azure 基础基准建议 4.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
遵守定义的保持期 CMA_0004 - 遵守定义的保持期 手动、已禁用 1.1.0
治理并监视审核处理活动 CMA_0289 - 治理并监视审核处理活动 手动、已禁用 1.1.0
保留安全策略和过程 CMA_0454 - 保留安全策略和过程 手动、已禁用 1.1.0
保留终止的用户数据 CMA_0455 - 保留终止的用户数据 手动、已禁用 1.1.0
对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 为便于调查事件,建议将 SQL Server 审核数据在存储帐户目标中的数据保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 AuditIfNotExists、Disabled 3.0.0

确保将 SQL 服务器上的“高级数据安全性”设置为“打开”

ID:CIS Microsoft Azure 基础基准建议 4.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL 审核没有高级数据安全的 SQL 服务器 AuditIfNotExists、Disabled 2.0.1
应为未受保护的 SQL 托管实例启用 Azure Defender for SQL 审核所有未启用高级数据安全的 SQL 托管实例。 AuditIfNotExists、Disabled 1.0.2
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0

确保“威胁检测类型”设置为“全部”

ID:CIS Microsoft Azure 基础基准建议 4.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0

确保设置“将警报发送到”

ID:CIS Microsoft Azure 基础基准建议 4.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保“电子邮件服务和协同管理员”设置为“已启用”

ID:CIS Microsoft Azure 基础基准建议 4.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保配置 Azure Active Directory 管理员

ID:CIS Microsoft Azure 基础基准建议 4.8;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应该为 SQL 服务器预配 Azure Active Directory 管理员 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 AuditIfNotExists、Disabled 1.0.0
自动执行帐户管理 CMA_0026 - 自动执行帐户管理 手动、已禁用 1.1.0
管理系统和管理员帐户 CMA_0368 - 管理系统和管理员帐户 手动、已禁用 1.1.0
监视整个组织的访问权限 CMA_0376 - 监视整个组织的访问权限 手动、已禁用 1.1.0
当不需要帐户时通知 CMA_0383 - 当不需要帐户时通知 手动、已禁用 1.1.0

确保将 SQL 数据库上的“数据加密”设置为“打开”

ID:CIS Microsoft Azure 基础基准建议 4.9;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0
应在 SQL 数据库上启用透明数据加密 应启用透明数据加密以保护静态数据并满足符合性要求 AuditIfNotExists、Disabled 2.0.0

5 日志记录和监视

确保日志配置文件存在

ID:CIS Microsoft Azure 基础基准建议 5.1.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
遵守定义的保持期 CMA_0004 - 遵守定义的保持期 手动、已禁用 1.1.0
Azure 订阅应有用于活动日志的日志配置文件 此策略确保启用一个日志配置文件来导出活动日志。 它会审核是否未创建日志配置文件将日志导出到存储帐户或事件中心。 AuditIfNotExists、Disabled 1.0.0
治理并监视审核处理活动 CMA_0289 - 治理并监视审核处理活动 手动、已禁用 1.1.0
保留安全策略和过程 CMA_0454 - 保留安全策略和过程 手动、已禁用 1.1.0
保留终止的用户数据 CMA_0455 - 保留终止的用户数据 手动、已禁用 1.1.0

确保将“活动日志保留期”设置为 365 天或更长时间

ID:CIS Microsoft Azure 基础基准建议 5.1.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
活动日志至少应保留一年 此策略审核活动日志的保留期是否未设置为365 天或永久(保留天数设置为 0)。 AuditIfNotExists、Disabled 1.0.0
遵守定义的保持期 CMA_0004 - 遵守定义的保持期 手动、已禁用 1.1.0
保留安全策略和过程 CMA_0454 - 保留安全策略和过程 手动、已禁用 1.1.0
保留终止的用户数据 CMA_0455 - 保留终止的用户数据 手动、已禁用 1.1.0

确保审核配置文件捕获所有活动

ID:CIS Microsoft Azure 基础基准建议 5.1.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
遵守定义的保持期 CMA_0004 - 遵守定义的保持期 手动、已禁用 1.1.0
Azure Monitor 日志配置文件应收集“写入”、“删除”和“操作”类别的日志 此策略可确保日志配置文件收集类别为 "write"、"delete" 和 "action" 的日志 AuditIfNotExists、Disabled 1.0.0
治理并监视审核处理活动 CMA_0289 - 治理并监视审核处理活动 手动、已禁用 1.1.0
保留安全策略和过程 CMA_0454 - 保留安全策略和过程 手动、已禁用 1.1.0
保留终止的用户数据 CMA_0455 - 保留终止的用户数据 手动、已禁用 1.1.0

确保日志配置文件捕获所有区域(包括全球)的活动日志

ID:CIS Microsoft Azure 基础基准建议 5.1.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
遵守定义的保持期 CMA_0004 - 遵守定义的保持期 手动、已禁用 1.1.0
Azure Monitor 应从所有区域收集活动日志 此策略审核不从所有 Azure 支持区域(包括全局)导出活动的 Azure Monitor 日志配置文件。 AuditIfNotExists、Disabled 2.0.0
治理并监视审核处理活动 CMA_0289 - 治理并监视审核处理活动 手动、已禁用 1.1.0
保留安全策略和过程 CMA_0454 - 保留安全策略和过程 手动、已禁用 1.1.0
保留终止的用户数据 CMA_0455 - 保留终止的用户数据 手动、已禁用 1.1.0

确保存储活动日志的存储容器不可公开访问

ID:CIS Microsoft Azure 基础基准建议 5.1.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[预览]:应禁止存储帐户公共访问 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 audit、Audit、deny、Deny、disabled、Disabled 3.1.0-preview
启用双重或联合授权 CMA_0226 - 启用双重或联合授权 手动、已禁用 1.1.0
保护审核信息 CMA_0401 - 保护审核信息 手动、已禁用 1.1.0

确保使用 BYOK(使用自己的密钥)对存储帐户(包含的容器具有活动日志)加密

ID:CIS Microsoft Azure 基础基准建议 5.1.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
启用双重或联合授权 CMA_0226 - 启用双重或联合授权 手动、已禁用 1.1.0
维护审核系统的完整性 CMA_C1133 - 维护审核系统的完整性 手动、已禁用 1.1.0
保护审核信息 CMA_0401 - 保护审核信息 手动、已禁用 1.1.0
必须使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密 此策略审核是否已使用 BYOK 对包含具有活动日志的容器的存储帐户进行加密。 仅当存储帐户在设计上依赖于与活动日志相同的订阅时,此策略才起作用。 有关 Azure 存储静态加密的详细信息,请参阅 https://aka.ms/azurestoragebyok AuditIfNotExists、Disabled 1.0.0

确保 Azure KeyVault 日志记录设置为“已启用”

ID:CIS Microsoft Azure 基础基准建议 5.1.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
审核特权函数 CMA_0019 - 审核特权函数 手动、已禁用 1.1.0
审核用户帐户状态 CMA_0020 - 审核用户帐户状态 手动、已禁用 1.1.0
确定可审核的事件 CMA_0137 - 确定可审核的事件 手动、已禁用 1.1.0
应启用 Azure Key Vault 托管 HSM 中的资源日志 若要在发生安全事件或网络遭到破坏时重新创建活动跟踪以供调查之用,你可能需要通过启用托管的 HSM 上的资源日志进行审核。 请按照此处的说明进行操作:https://docs.microsoft.com/azure/key-vault/managed-hsm/logging AuditIfNotExists、Disabled 1.1.0
应启用 Key Vault 中的资源日志 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 AuditIfNotExists、Disabled 5.0.0
查看审核数据 CMA_0466 - 查看审核数据 手动、已禁用 1.1.0

确保存在“创建策略分配”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定策略操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定策略操作。 AuditIfNotExists、Disabled 3.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“创建或更新网络安全组”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定管理操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定管理操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“删除网络安全组”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定管理操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定管理操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“创建或更新网络安全组规则”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定管理操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定管理操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“删除网络安全组规则”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定管理操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定管理操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“创建或更新安全解决方案”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定安全操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定安全操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“删除安全解决方案”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定安全操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定安全操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“创建、更新或删除 SQL Server 防火墙规则”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.8;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定管理操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定管理操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

确保存在“更新安全策略”的活动日志警报

ID:CIS Microsoft Azure 基础基准建议 5.2.9;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
向人员发出信息溢写警报 CMA_0007 - 向人员发出信息溢写警报 手动、已禁用 1.1.0
特定安全操作应有活动日志警报 此策略审核未配置任何活动日志警报的特定安全操作。 AuditIfNotExists、Disabled 1.0.0
制定事件响应计划 CMA_0145 - 制定事件响应计划 手动、已禁用 1.1.0
为组织中的新云应用程序和热门云应用程序设置自动通知 CMA_0495 - 为组织中的新云应用程序和热门云应用程序设置自动通知 手动、已禁用 1.1.0

6 网络

确保任何 SQL 数据库都不允许流入量 0.0.0.0/0 (任何 IP)

ID:CIS Microsoft Azure 基础基准建议 6.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
控制信息流 CMA_0079 - 控制信息流 手动、已禁用 1.1.0
采用加密信息的流控制机制 CMA_0211 - 采用加密信息的流控制机制 手动、已禁用 1.1.0

确保网络安全组流日志保持期为“超过 90 天”

ID:CIS Microsoft Azure 基础基准建议 6.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
遵守定义的保持期 CMA_0004 - 遵守定义的保持期 手动、已禁用 1.1.0
保留安全策略和过程 CMA_0454 - 保留安全策略和过程 手动、已禁用 1.1.0
保留终止的用户数据 CMA_0455 - 保留终止的用户数据 手动、已禁用 1.1.0

确保网络观察程序设置为“已启用”

ID:CIS Microsoft Azure 基础基准建议 6.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应启用网络观察程序 网络观察程序是一个区域性服务,可用于在网络方案级别监视和诊断 Azure 内部以及传入和传出 Azure 的流量的状态。 使用方案级别监视可以诊断端到端网络级别视图的问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 AuditIfNotExists、Disabled 3.0.0
验证安全性函数 CMA_C1708 - 验证安全性函数 手动、已禁用 1.1.0

7 虚拟机

确保“OS 磁盘”已加密

ID:CIS Microsoft Azure 基础基准建议 7.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0

确保“数据磁盘”已加密

ID:CIS Microsoft Azure 基础基准建议 7.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0

确保加密“未附加的磁盘”

ID:CIS Microsoft Azure 基础基准建议 7.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立数据泄漏管理过程 CMA_0255 - 建立数据泄漏管理过程 手动、已禁用 1.1.0
实施控制措施来保护所有介质 CMA_0314 - 实施控制措施来保护所有介质 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
保护特殊信息 CMA_0409 - 保护特殊信息 手动、已禁用 1.1.0

确保仅安装已批准的扩展

ID:CIS Microsoft Azure 基础基准建议 7.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应当仅安装已批准的 VM 扩展 此策略约束未获批准的虚拟机扩展。 Audit、Deny、Disabled 1.0.0

确保已应用适用于所有虚拟机的最新 OS 修补程序

ID:CIS Microsoft Azure 基础基准建议 7.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

确保已安装适用于所有虚拟机的 Endpoint Protection

ID:CIS Microsoft Azure 基础基准建议 7.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
阻止从 USB 运行不受信任和未签名的进程 CMA_0050 - 阻止从 USB 运行的不受信任和未签名的进程 手动、已禁用 1.1.0
记录安全操作 CMA_0202 - 记录安全操作 手动、已禁用 1.1.0
管理网关 CMA_0363 - 管理网关 手动、已禁用 1.1.0
对威胁执行趋势分析 CMA_0389 - 对威胁执行趋势分析 手动、已禁用 1.1.0
执行漏洞扫描 CMA_0393 - 执行漏洞扫描 手动、已禁用 1.1.0
每周查看恶意软件检测报告 CMA_0475 - 每周查看恶意软件检测报告 手动、已禁用 1.1.0
每周查看威胁防护状态 CMA_0479 - 每周查看威胁防护状态 手动、已禁用 1.1.0
打开终结点安全解决方案的传感器 CMA_0514 - 打开终结点安全解决方案的传感器 手动、已禁用 1.1.0
更新防病毒定义 CMA_0517 - 更新防病毒定义 手动、已禁用 1.1.0
验证软件、固件和信息完整性 CMA_0542 - 验证软件、固件和信息完整性 手动、已禁用 1.1.0

8 其他安全注意事项

确保已对所有密钥设置到期日期

ID:CIS Microsoft Azure 基础基准建议 8.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
定义物理密钥管理流程 CMA_0115 - 定义物理密钥管理流程 手动、已禁用 1.1.0
定义加密使用 CMA_0120 - 定义加密使用 手动、已禁用 1.1.0
定义加密密钥管理的组织要求 CMA_0123 - 定义加密密钥管理的组织要求 手动、已禁用 1.1.0
确定断言要求 CMA_0136 - 确定断言要求 手动、已禁用 1.1.0
颁发公钥证书 CMA_0347 - 颁发公钥证书 手动、已禁用 1.1.0
Key Vault 密钥应具有到期日期 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 Audit、Deny、Disabled 1.0.2
管理对称加密密钥 CMA_0367 - 管理对称加密密钥 手动、已禁用 1.1.0
限制对私钥的访问 CMA_0445 - 限制对私钥的访问权限 手动、已禁用 1.1.0

确保已对所有机密设置到期日期

ID:CIS Microsoft Azure 基础基准建议 8.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
定义物理密钥管理流程 CMA_0115 - 定义物理密钥管理流程 手动、已禁用 1.1.0
定义加密使用 CMA_0120 - 定义加密使用 手动、已禁用 1.1.0
定义加密密钥管理的组织要求 CMA_0123 - 定义加密密钥管理的组织要求 手动、已禁用 1.1.0
确定断言要求 CMA_0136 - 确定断言要求 手动、已禁用 1.1.0
颁发公钥证书 CMA_0347 - 颁发公钥证书 手动、已禁用 1.1.0
Key Vault 机密应具有到期日期 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 Audit、Deny、Disabled 1.0.2
管理对称加密密钥 CMA_0367 - 管理对称加密密钥 手动、已禁用 1.1.0
限制对私钥的访问 CMA_0445 - 限制对私钥的访问权限 手动、已禁用 1.1.0

确保为任务关键型 Azure 资源设置资源锁

ID:CIS Microsoft Azure 基础基准建议 8.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
建立并记录更改控制流程 CMA_0265 - 建立并记录更改控制流程 手动、已禁用 1.1.0

确保 Key Vault 可恢复

ID:CIS Microsoft Azure 基础基准建议 8.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
Azure Key Vault 托管的 HSM 应启用清除保护 恶意删除 Azure Key Vault 托管的 HSM 可能导致永久数据丢失。 你组织中的恶意内部人员可能会删除和清除 Azure Key Vault 托管的 HSM。 清除保护通过强制实施软删除 Azure Key Vault 托管的 HSM 的强制保留期来保护你免受内部人员的攻击。 你的组织内的任何人都无法在软删除保留期内清除 Azure Key Vault 托管的 HSM。 Audit、Deny、Disabled 1.0.0
密钥保管库应启用删除保护 恶意删除密钥保管库可能会导致永久丢失数据。 可以通过启用清除保护和软删除来防止永久数据丢失。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 请记住,在 2019 年 9 月 1 日之后创建的密钥保管库默认启用软删除。 Audit、Deny、Disabled 2.1.0
保持信息的可用性 CMA_C1644 - 保持信息的可用性 手动、已禁用 1.1.0

在 Azure Kubernetes 服务中启用基于角色的访问控制 (RBAC)

ID:CIS Microsoft Azure 基础基准建议 8.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
授权访问安全性函数和信息 CMA_0022 - 授权访问安全性函数和信息 手动、已禁用 1.1.0
授权和管理访问权限 CMA_0023 - 授权和管理访问权限 手动、已禁用 1.1.0
强制执行逻辑访问 CMA_0245 - 强制执行逻辑访问 手动、已禁用 1.1.0
强制实施强制和自主访问控制策略 CMA_0246 - 强制实施强制和自主访问控制策略 手动、已禁用 1.1.0
需要批准才能创建帐户 CMA_0431 - 需要批准才能创建帐户 手动、已禁用 1.1.0
查看有权访问敏感数据的用户组和应用程序 CMA_0481 - 查看有权访问敏感数据的用户组和应用程序 手动、已禁用 1.1.0
应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) 若要对用户可以执行的操作提供粒度筛选,请使用基于角色的访问控制 (RBAC) 来管理 Kubernetes 服务群集中的权限并配置相关授权策略。 Audit、Disabled 1.0.4

9 应用服务

确保在 Azure 应用服务上设置应用服务身份验证

ID:CIS Microsoft Azure 基础基准建议 9.1;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务应用应已启用身份验证 Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问 Web 应用,或在令牌访问 Web 应用之前对其进行身份验证。 AuditIfNotExists、Disabled 2.0.1
对加密模块进行身份验证 CMA_0021 - 对加密模块进行身份验证 手动、已禁用 1.1.0
强制执行用户唯一性 CMA_0250 - 强制执行用户唯一性 手动、已禁用 1.1.0
函数应用应启用身份验证 Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问函数应用,或在令牌访问函数应用之前对其进行身份验证。 AuditIfNotExists、Disabled 3.0.0
支持由法律机构颁发的个人验证凭据 CMA_0507 - 支持由法律机构颁发的个人验证凭据 手动、已禁用 1.1.0

确保用于运行 Web 应用的“HTTP 版本”是最新的

ID:CIS Microsoft Azure 基础基准建议 9.10;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务应用应使用最新“HTTP 版本” 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 AuditIfNotExists、Disabled 4.0.0
函数应用应使用最新“HTTP 版本” 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 AuditIfNotExists、Disabled 4.0.0
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

确保 Web 应用将所有 HTTP 流量重定向到 Azure 应用服务中的 HTTPS

ID:CIS Microsoft Azure 基础基准建议 9.2;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
只应通过 HTTPS 访问应用服务应用 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 审核、已禁用、拒绝 4.0.0
配置工作站以检查数字证书 CMA_0073 - 配置工作站以检查数字证书 手动、已禁用 1.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
使用加密保护密码 CMA_0408 - 使用加密保护密码 手动、已禁用 1.1.0

确保 Web 应用使用最新版本的 TLS 加密

ID:CIS Microsoft Azure 基础基准建议 9.3;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务应用应使用最新的 TLS 版本 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 AuditIfNotExists、Disabled 2.1.0
配置工作站以检查数字证书 CMA_0073 - 配置工作站以检查数字证书 手动、已禁用 1.1.0
函数应用应使用最新 TLS 版本 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 AuditIfNotExists、Disabled 2.1.0
使用加密保护传输中的数据 CMA_0403 - 使用加密保护传输中的数据 手动、已禁用 1.1.0
使用加密保护密码 CMA_0408 - 使用加密保护密码 手动、已禁用 1.1.0

确保 Web 应用的“客户端证书(传入客户端证书)”设置为“打开”

ID:CIS Microsoft Azure 基础基准建议 9.4;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
[已弃用]:函数应用应启用“客户端证书(传入客户端证书)” 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 由于 Http 2.0 不支持客户端证书,此策略已替换为同名的新策略。 Audit、Disabled 3.1.0-deprecated
应用服务应用应启用“客户端证书(传入客户端证书)” 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 AuditIfNotExists、Disabled 1.0.0
对加密模块进行身份验证 CMA_0021 - 对加密模块进行身份验证 手动、已禁用 1.1.0

确保在应用服务中启用“向 Azure Active Directory 注册”

ID:CIS Microsoft Azure 基础基准建议 9.5;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
应用服务应用应使用托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 3.0.0
自动执行帐户管理 CMA_0026 - 自动执行帐户管理 手动、已禁用 1.1.0
函数应用应使用托管标识 使用托管标识以实现增强的身份验证安全性 AuditIfNotExists、Disabled 3.0.0
管理系统和管理员帐户 CMA_0368 - 管理系统和管理员帐户 手动、已禁用 1.1.0
监视整个组织的访问权限 CMA_0376 - 监视整个组织的访问权限 手动、已禁用 1.1.0
当不需要帐户时通知 CMA_0383 - 当不需要帐户时通知 手动、已禁用 1.1.0

确保用作 Web 应用一部分的“.Net Framework”版本是最新的

ID:CIS Microsoft Azure 基础基准建议 9.6;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

确保用于运行 Web 应用的“PHP 版本”是最新的

ID:CIS Microsoft Azure 基础基准建议 9.7;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

确保用于运行 Web 应用的“Python 版本”是最新的

ID:CIS Microsoft Azure 基础基准建议 9.8;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

确保用于运行 Web 应用的“Java 版本”是最新的

ID:CIS Microsoft Azure 基础基准建议 9.9;所有权:共享

名称
(Azure 门户)
说明 效果 版本
(GitHub)
修正信息系统缺陷 CMA_0427 - 修正信息系统缺陷 手动、已禁用 1.1.0

后续步骤

有关 Azure Policy 的其他文章: