Podrobnosti integrované iniciativy FedRAMP High Regulatory Compliance
Následující článek podrobně popisuje, jak se předdefinovaná definice iniciativy Dodržování právních předpisů Azure Policy mapuje na domény dodržování předpisů a kontroly v FedRAMP High. Další informace o tomto standardu dodržování předpisů najdete v tématu FedRAMP High. Pokud chcete porozumět vlastnictví, projděte si typ zásad a sdílenou odpovědnost v cloudu.
Následující mapování jsou na ovládací prvky FedRAMP High . Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy . Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásady na webu Azure Portal a vyberte stránku Definice . Pak vyhledejte a vyberte předdefinovaný definici iniciativy FedRAMP High Regulatory Compliance.
Důležité
Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné definice zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi služby Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.
Řízení přístupu
Zásady a postupy řízení přístupu
ID: FedRAMP High AC-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj zásad a postupů řízení přístupu | CMA_0144 – Vývoj zásad a postupů řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Řízení zásad a postupů | CMA_0292 – Řízení zásad a postupů | Ručně, zakázáno | 1.1.0 |
| Kontrola zásad a postupů řízení přístupu | CMA_0457 – Kontrola zásad a postupů řízení přístupu | Ručně, zakázáno | 1.1.0 |
Správa účtů
ID: FedRAMP High AC-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Přiřazení správců účtů | CMA_0015 – Přiřazení správců účtů | Ručně, zakázáno | 1.1.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Definování a vynucování podmínek pro sdílené účty a účty skupin | CMA_0117 – Definování a vynucování podmínek pro sdílené účty a účty skupin | Ručně, zakázáno | 1.1.0 |
| Definování typů účtů informačního systému | CMA_0121 – definování typů účtů informačního systému | Ručně, zakázáno | 1.1.0 |
| Oprávnění k přístupu k dokumentům | CMA_0186 – oprávnění k přístupu k dokumentům | Ručně, zakázáno | 1.1.0 |
| Vytvoření podmínek pro členství v rolích | CMA_0269 – Vytvoření podmínek pro členství v rolích | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Monitorování aktivity účtu | CMA_0377 – Monitorování aktivity účtu | Ručně, zakázáno | 1.1.0 |
| Upozornit správce účtů na účty řízené zákazníky | CMA_C1009 – upozornit správce účtů na účty řízené zákazníky | Ručně, zakázáno | 1.1.0 |
| Reissue authenticators for changed groups and accounts | CMA_0426 – reissue authenticátory pro změněné skupiny a účty | Ručně, zakázáno | 1.1.0 |
| Vyžadovat schválení pro vytvoření účtu | CMA_0431 – Vyžadování schválení pro vytvoření účtu | Ručně, zakázáno | 1.1.0 |
| Omezení přístupu k privilegovaným účtům | CMA_0446 – Omezení přístupu k privilegovaným účtům | Ručně, zakázáno | 1.1.0 |
| Kontrola protokolů zřizování účtů | CMA_0460 – Kontrola protokolů zřizování účtů | Ručně, zakázáno | 1.1.0 |
| Kontrola uživatelských účtů | CMA_0480 – Kontrola uživatelských účtů | Ručně, zakázáno | 1.1.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
Automatizovaná správa účtů systému
ID: FedRAMP High AC-2 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Automatizace správy účtů | CMA_0026 – Automatizace správy účtů | Ručně, zakázáno | 1.1.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Správa účtů systému a správců | CMA_0368 – Správa účtů systému a správců | Ručně, zakázáno | 1.1.0 |
| Monitorování přístupu v celé organizaci | CMA_0376 – Monitorování přístupu v celé organizaci | Ručně, zakázáno | 1.1.0 |
| Upozornit, když účet není potřeba | CMA_0383 – Upozornit, když účet není potřeba | Ručně, zakázáno | 1.1.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
Zakázání neaktivních účtů
ID: FedRAMP High AC-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zakázání ověřovacích modulů po ukončení | CMA_0169 – Zakázání ověřovacích modulů po ukončení | Ručně, zakázáno | 1.1.0 |
| Odvolání privilegovaných rolí podle potřeby | CMA_0483 – Odvolání privilegovaných rolí podle potřeby | Ručně, zakázáno | 1.1.0 |
Automatizované akce auditu
ID: FedRAMP High AC-2 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Automatizace správy účtů | CMA_0026 – Automatizace správy účtů | Ručně, zakázáno | 1.1.0 |
| Správa účtů systému a správců | CMA_0368 – Správa účtů systému a správců | Ručně, zakázáno | 1.1.0 |
| Monitorování přístupu v celé organizaci | CMA_0376 – Monitorování přístupu v celé organizaci | Ručně, zakázáno | 1.1.0 |
| Upozornit, když účet není potřeba | CMA_0383 – Upozornit, když účet není potřeba | Ručně, zakázáno | 1.1.0 |
Odhlášení nečinnosti
ID: FedRAMP High AC-2 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování a vynucení zásad protokolu nečinnosti | CMA_C1017 – Definování a vynucování zásad protokolu nečinnosti | Ručně, zakázáno | 1.1.0 |
Schémata založená na rolích
ID: FedRAMP High AC-2 (7) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Monitorování aktivity účtu | CMA_0377 – Monitorování aktivity účtu | Ručně, zakázáno | 1.1.0 |
| Monitorování přiřazení privilegovaných rolí | CMA_0378 – Monitorování přiřazení privilegovaných rolí | Ručně, zakázáno | 1.1.0 |
| Omezení přístupu k privilegovaným účtům | CMA_0446 – Omezení přístupu k privilegovaným účtům | Ručně, zakázáno | 1.1.0 |
| Odvolání privilegovaných rolí podle potřeby | CMA_0483 – Odvolání privilegovaných rolí podle potřeby | Ručně, zakázáno | 1.1.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
| Použití správy privilegovaných identit | CMA_0533 – Použití správy privilegovaných identit | Ručně, zakázáno | 1.1.0 |
Omezení používání sdílených skupin nebo účtů
ID: FedRAMP High AC-2 (9) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování a vynucování podmínek pro sdílené účty a účty skupin | CMA_0117 – Definování a vynucování podmínek pro sdílené účty a účty skupin | Ručně, zakázáno | 1.1.0 |
Ukončení přihlašovacích údajů sdíleného nebo skupinového účtu
ID: FedRAMP High AC-2 (10) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ukončení přihlašovacích údajů účtu řízeného zákazníkem | CMA_C1022 – Ukončení přihlašovacích údajů účtu řízeného zákazníkem | Ručně, zakázáno | 1.1.0 |
Podmínky použití
ID: FedRAMP High AC-2 (11) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vynucení vhodného využití všech účtů | CMA_C1023 – vynucování vhodného využití všech účtů | Ručně, zakázáno | 1.1.0 |
Monitorování účtů / neobvyklé využití
ID: FedRAMP High AC-2 (12) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 6.0.0-preview |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Monitorování aktivity účtu | CMA_0377 – Monitorování aktivity účtu | Ručně, zakázáno | 1.1.0 |
| Nahlášení neobvyklého chování uživatelských účtů | CMA_C1025 – Hlášení neobvyklého chování uživatelských účtů | Ručně, zakázáno | 1.1.0 |
Zakázání účtů pro vysoce rizikové jednotlivce
ID: FedRAMP High AC-2 (13) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zakázání uživatelských účtů představujících významné riziko | CMA_C1026 – Zakázání uživatelských účtů představujících významné riziko | Ručně, zakázáno | 1.1.0 |
Vynucení přístupu
ID: FedRAMP High AC-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování počítačů s Linuxem, které mají účty bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které mají účty bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, zakázáno | 3.2.0 |
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Vynucení logického přístupu | CMA_0245 – vynucení logického přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Vyžadovat schválení pro vytvoření účtu | CMA_0431 – Vyžadování schválení pro vytvoření účtu | Ručně, zakázáno | 1.1.0 |
| Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | Ručně, zakázáno | 1.1.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro účty úložiště můžete poskytovat vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
Vynucení toku informací
ID: FedRAMP High AC-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služby API Management by měly používat virtuální síť. | Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.1 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Rozhraní Azure API for FHIR by mělo používat privátní propojení. | Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. | Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Služba Azure Web PubSub by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, zakázáno | 1.0.0 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Tok informací o řízení | CMA_0079 – tok informací o řízení | Ručně, zakázáno | 1.1.0 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Použití mechanismů řízení toku zašifrovaných informací | CMA_0211 – využití mechanismů řízení toku zašifrovaných informací | Ručně, zakázáno | 1.1.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
Filtry zásad zabezpečení
ID: FedRAMP High AC-4 (8) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení toku informací pomocí filtrů zásad zabezpečení | CMA_C1029 – řízení toku informací pomocí filtrů zásad zabezpečení | Ručně, zakázáno | 1.1.0 |
Fyzické / logické oddělení informačních toků
ID: FedRAMP High AC-4 (21) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Tok informací o řízení | CMA_0079 – tok informací o řízení | Ručně, zakázáno | 1.1.0 |
| Vytvoření standardů konfigurace brány firewall a směrovače | CMA_0272 – Vytvoření standardů konfigurace brány firewall a směrovače | Ručně, zakázáno | 1.1.0 |
| Vytvoření segmentace sítě pro datové prostředí držitelů karet | CMA_0273 – Vytvoření segmentace sítě pro datové prostředí držitelů karet | Ručně, zakázáno | 1.1.0 |
| Identifikace a správa výměn podřízených informací | CMA_0298 – Identifikace a správa výměn informací v podřízených | Ručně, zakázáno | 1.1.0 |
Oddělení povinností
ID: FedRAMP High AC-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování autorizací přístupu pro podporu oddělení povinností | CMA_0116 – Definování autorizací přístupu pro podporu oddělení povinností | Ručně, zakázáno | 1.1.0 |
| Dokument oddělení povinností | CMA_0204 – dokument oddělení povinností | Ručně, zakázáno | 1.1.0 |
| Samostatné povinnosti jednotlivců | CMA_0492 - samostatné povinnosti jednotlivců | Ručně, zakázáno | 1.1.0 |
| K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
Nejnižší oprávnění
ID: FedRAMP High AC-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Návrh modelu řízení přístupu | CMA_0129 – Návrh modelu řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Využití přístupu s nejnižšími oprávněními | CMA_0212 – Využití přístupu s nejnižšími oprávněními | Ručně, zakázáno | 1.1.0 |
Autorizace přístupu k funkcím zabezpečení
ID: FedRAMP High AC-6 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
Privilegované účty
ID: FedRAMP High AC-6 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Omezení přístupu k privilegovaným účtům | CMA_0446 – Omezení přístupu k privilegovaným účtům | Ručně, zakázáno | 1.1.0 |
Kontrola uživatelských oprávnění
ID: FedRAMP High AC-6 (7) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Podle potřeby znovu přiřaďte nebo odeberte uživatelská oprávnění. | CMA_C1040 – podle potřeby znovu přiřadit nebo odebrat uživatelská oprávnění | Ručně, zakázáno | 1.1.0 |
| Kontrola uživatelských oprávnění | CMA_C1039 – Kontrola uživatelských oprávnění | Ručně, zakázáno | 1.1.0 |
Úrovně oprávnění pro spouštění kódu
ID: FedRAMP High AC-6 (8) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vynucení oprávnění ke spuštění softwaru | CMA_C1041 – Vynucení oprávnění ke spuštění softwaru | Ručně, zakázáno | 1.1.0 |
Použití auditování privilegovaných funkcí
ID: FedRAMP High AC-6 (9) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Provedení úplné analýzy textu protokolovaných privilegovaných příkazů | CMA_0056 – Provedení úplné analýzy textu protokolovaných privilegovaných příkazů | Ručně, zakázáno | 1.1.0 |
| Monitorování přiřazení privilegovaných rolí | CMA_0378 – Monitorování přiřazení privilegovaných rolí | Ručně, zakázáno | 1.1.0 |
| Omezení přístupu k privilegovaným účtům | CMA_0446 – Omezení přístupu k privilegovaným účtům | Ručně, zakázáno | 1.1.0 |
| Odvolání privilegovaných rolí podle potřeby | CMA_0483 – Odvolání privilegovaných rolí podle potřeby | Ručně, zakázáno | 1.1.0 |
| Použití správy privilegovaných identit | CMA_0533 – Použití správy privilegovaných identit | Ručně, zakázáno | 1.1.0 |
Neúspěšné pokusy o přihlášení
ID: FedRAMP High AC-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vynucení limitu po sobě jdoucích neúspěšných pokusů o přihlášení | CMA_C1044 – Vynucení limitu po sobě jdoucích neúspěšných pokusů o přihlášení | Ručně, zakázáno | 1.1.0 |
Řízení souběžné relace
ID: FedRAMP High AC-10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování a vynucení limitu souběžných relací | CMA_C1050 – Definování a vynucení limitu souběžných relací | Ručně, zakázáno | 1.1.0 |
Ukončení relace
ID: FedRAMP High AC-12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Automatické ukončení uživatelské relace | CMA_C1054 – Ukončení uživatelské relace automaticky | Ručně, zakázáno | 1.1.0 |
Odhlášení iniciované uživatelem / Zobrazení zpráv
ID: FedRAMP High AC-12 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zobrazení explicitní zprávy o odhlášení | CMA_C1056 – zobrazení explicitní zprávy o odhlášení | Ručně, zakázáno | 1.1.0 |
| Poskytnutí možnosti odhlášení | CMA_C1055 – Poskytnutí možnosti odhlášení | Ručně, zakázáno | 1.1.0 |
Povolené akce bez identifikace nebo ověřování
ID: FedRAMP High AC-14 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Identifikace povolených akcí bez ověřování | CMA_0295 – Identifikace povolených akcí bez ověřování | Ručně, zakázáno | 1.1.0 |
Vzdálený přístup
ID: FedRAMP High AC-17 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Autorizace vzdáleného přístupu | CMA_0024 – Autorizace vzdáleného přístupu | Ručně, zakázáno | 1.1.0 |
| Rozhraní Azure API for FHIR by mělo používat privátní propojení. | Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Spring Cloud by měl používat injektáž sítě | Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. | Audit, Zakázáno, Odepřít | 1.2.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Služba Azure Web PubSub by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, zakázáno | 1.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Školení k dokumentování mobility | CMA_0191 – Školení k dokumentování mobility | Ručně, zakázáno | 1.1.0 |
| Zdokumentovat pokyny pro vzdálený přístup | CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup | Ručně, zakázáno | 1.1.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | Ručně, zakázáno | 1.1.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Poskytnutí školení k ochraně osobních údajů | CMA_0415 – poskytování školení k ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
Automatizované monitorování / řízení
ID: FedRAMP High AC-17 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Rozhraní Azure API for FHIR by mělo používat privátní propojení. | Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Spring Cloud by měl používat injektáž sítě | Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. | Audit, Zakázáno, Odepřít | 1.2.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Služba Azure Web PubSub by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, zakázáno | 1.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Monitorování přístupu v celé organizaci | CMA_0376 – Monitorování přístupu v celé organizaci | Ručně, zakázáno | 1.1.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
Ochrana důvěrnosti / integrity pomocí šifrování
ID: FedRAMP High AC-17 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Upozorňovat uživatele na přihlášení k systému nebo přístup | CMA_0382 – Upozorněte uživatele na přihlášení nebo přístup k systému | Ručně, zakázáno | 1.1.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
Spravované body řízení přístupu
ID: FedRAMP High AC-17 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Směrování provozu přes spravované síťové přístupové body | CMA_0484 – Směrování provozu přes spravované síťové přístupové body | Ručně, zakázáno | 1.1.0 |
Privilegované příkazy / přístup
ID: FedRAMP High AC-17 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace vzdáleného přístupu | CMA_0024 – Autorizace vzdáleného přístupu | Ručně, zakázáno | 1.1.0 |
| Autorizace vzdáleného přístupu k privilegovaným příkazům | CMA_C1064 – Autorizace vzdáleného přístupu k privilegovaným příkazům | Ručně, zakázáno | 1.1.0 |
| Zdokumentovat pokyny pro vzdálený přístup | CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | Ručně, zakázáno | 1.1.0 |
| Poskytnutí školení k ochraně osobních údajů | CMA_0415 – poskytování školení k ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
Odpojit nebo zakázat přístup
ID: FedRAMP High AC-17 (9) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Poskytnutí možnosti odpojení nebo zakázání vzdáleného přístupu | CMA_C1066 – Poskytnutí možnosti odpojení nebo zakázání vzdáleného přístupu | Ručně, zakázáno | 1.1.0 |
Bezdrátový přístup
ID: FedRAMP High AC-18 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentujte a implementujte pokyny pro bezdrátový přístup | CMA_0190 – Dokument a implementace pokynů pro bezdrátový přístup | Ručně, zakázáno | 1.1.0 |
| Ochrana bezdrátového přístupu | CMA_0411 – Ochrana bezdrátového přístupu | Ručně, zakázáno | 1.1.0 |
Ověřování a šifrování
ID: FedRAMP High AC-18 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentujte a implementujte pokyny pro bezdrátový přístup | CMA_0190 – Dokument a implementace pokynů pro bezdrátový přístup | Ručně, zakázáno | 1.1.0 |
| Identifikace a ověřování síťových zařízení | CMA_0296 – Identifikace a ověřování síťových zařízení | Ručně, zakázáno | 1.1.0 |
| Ochrana bezdrátového přístupu | CMA_0411 – Ochrana bezdrátového přístupu | Ručně, zakázáno | 1.1.0 |
Řízení přístupu pro mobilní zařízení
ID: FedRAMP High AC-19 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování požadavků na mobilní zařízení | CMA_0122 – Definování požadavků na mobilní zařízení | Ručně, zakázáno | 1.1.0 |
Úplné šifrování na základě zařízení / kontejneru
ID: FedRAMP High AC-19 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování požadavků na mobilní zařízení | CMA_0122 – Definování požadavků na mobilní zařízení | Ručně, zakázáno | 1.1.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
Použití externích informačních systémů
ID: FedRAMP High AC-20 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Stanovení podmínek a ujednání pro přístup k prostředkům | CMA_C1076 – Vytvoření podmínek a ujednání pro přístup k prostředkům | Ručně, zakázáno | 1.1.0 |
| Stanovení podmínek a ujednání pro zpracování prostředků | CMA_C1077 – Stanovení podmínek a ujednání pro zpracování prostředků | Ručně, zakázáno | 1.1.0 |
Omezení autorizovaného použití
ID: FedRAMP High AC-20 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ověření bezpečnostních prvků pro externí informační systémy | CMA_0541 – Ověření bezpečnostních prvků pro externí informační systémy | Ručně, zakázáno | 1.1.0 |
Přenosná úložná zařízení
ID: FedRAMP High AC-20 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Řízení používání přenosných úložných zařízení | CMA_0083 – řízení používání přenosných úložných zařízení | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
Sdílení informací
ID: FedRAMP High AC-21 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Automatizace rozhodnutí o sdílení informací | CMA_0028 – Automatizace rozhodování o sdílení informací | Ručně, zakázáno | 1.1.0 |
| Usnadnění sdílení informací | CMA_0284 – usnadnění sdílení informací | Ručně, zakázáno | 1.1.0 |
Veřejně přístupný obsah
ID: FedRAMP High AC-22 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Určení autorizovaných pracovníků k publikování veřejně přístupných informací | CMA_C1083 – Určení autorizovaných pracovníků k publikování veřejně přístupných informací | Ručně, zakázáno | 1.1.0 |
| Kontrola obsahu před publikováním veřejně přístupných informací | CMA_C1085 – Kontrola obsahu před publikováním veřejně přístupných informací | Ručně, zakázáno | 1.1.0 |
| Kontrola veřejně přístupného obsahu pro neveřejné informace | CMA_C1086 – Kontrola veřejně přístupného obsahu pro neveřejné informace | Ručně, zakázáno | 1.1.0 |
| Trénování pracovníků o zpřístupnění nepublikovaných informací | CMA_C1084 – trénování pracovníků o zpřístupnění nepublikovaných informací | Ručně, zakázáno | 1.1.0 |
Povědomí a školení
Zásady zvyšování povědomí o zabezpečení a školení
ID: FedRAMP High AT-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentování aktivit školení zabezpečení a ochrany osobních údajů | CMA_0198 – zdokumentování aktivit školení zabezpečení a ochrany osobních údajů | Ručně, zakázáno | 1.1.0 |
| Aktualizace zásad zabezpečení informací | CMA_0518 – aktualizace zásad zabezpečení informací | Ručně, zakázáno | 1.1.0 |
Školení ke zvyšování povědomí o zabezpečení
ID: FedRAMP High AT-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zajištění pravidelného školení pro zvyšování povědomí o zabezpečení | CMA_C1091 – zajištění pravidelného školení pro zvyšování povědomí o zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zajištění školení zabezpečení pro nové uživatele | CMA_0419 – poskytování školení zabezpečení pro nové uživatele | Ručně, zakázáno | 1.1.0 |
| Zajištění aktualizovaného školení pro zvyšování povědomí o zabezpečení | CMA_C1090 – poskytování aktualizovaného školení pro zvyšování povědomí o zabezpečení | Ručně, zakázáno | 1.1.0 |
Insider Threat
ID: Vlastnictví FedRAMP High AT-2 (2): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zajištění školení o povědomí o zabezpečení pro vnitřní hrozby | CMA_0417 – poskytování školení pro zvyšování povědomí o zabezpečení pro vnitřní hrozby | Ručně, zakázáno | 1.1.0 |
Školení zabezpečení na základě rolí
ID: FedRAMP High AT-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zajištění pravidelného trénování zabezpečení na základě rolí | CMA_C1095 – zajištění pravidelného trénování zabezpečení na základě rolí | Ručně, zakázáno | 1.1.0 |
| Poskytnutí trénování zabezpečení na základě rolí | CMA_C1094 – Poskytování školení zabezpečení na základě rolí | Ručně, zakázáno | 1.1.0 |
| Zajištění školení zabezpečení před poskytnutím přístupu | CMA_0418 – zajištění školení zabezpečení před poskytnutím přístupu | Ručně, zakázáno | 1.1.0 |
Praktická cvičení
ID: Vlastnictví FedRAMP High AT-3 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Poskytnutí praktických cvičení založených na rolích | CMA_C1096 – poskytování praktických cvičení založených na rolích | Ručně, zakázáno | 1.1.0 |
Podezřelé chování komunikace a neobvyklého systémového chování
ID: FedRAMP High AT-3 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Poskytování trénování na základě rolí na podezřelých aktivitách | CMA_C1097 – poskytování trénování na základě role na podezřelých aktivitách | Ručně, zakázáno | 1.1.0 |
Záznamy školení zabezpečení
ID: FedRAMP High AT-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentování aktivit školení zabezpečení a ochrany osobních údajů | CMA_0198 – zdokumentování aktivit školení zabezpečení a ochrany osobních údajů | Ručně, zakázáno | 1.1.0 |
| Monitorování dokončení školení zabezpečení a ochrany osobních údajů | CMA_0379 – Monitorování dokončení školení zabezpečení a ochrany osobních údajů | Ručně, zakázáno | 1.1.0 |
| Zachování trénovacích záznamů | CMA_0456 – Zachování trénovacích záznamů | Ručně, zakázáno | 1.1.0 |
Audit a odpovědnost
Zásady a postupy auditu a odpovědnosti
ID: FedRAMP High AU-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj zásad a postupů auditu a odpovědnosti | CMA_0154 – vývoj zásad a postupů auditu a odpovědnosti | Ručně, zakázáno | 1.1.0 |
| Vývoj zásad a postupů zabezpečení informací | CMA_0158 – Vývoj zásad a postupů zabezpečení informací | Ručně, zakázáno | 1.1.0 |
| Řízení zásad a postupů | CMA_0292 – Řízení zásad a postupů | Ručně, zakázáno | 1.1.0 |
| Aktualizace zásad zabezpečení informací | CMA_0518 – aktualizace zásad zabezpečení informací | Ručně, zakázáno | 1.1.0 |
Událostí auditu
ID: FedRAMP High AU-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
Recenze a aktualizace
ID: FedRAMP High AU-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace událostí definovaných v AU-02 | CMA_C1106 – Kontrola a aktualizace událostí definovaných v AU-02 | Ručně, zakázáno | 1.1.0 |
Obsah záznamů auditu
ID: FedRAMP High AU-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
Další informace o auditu
ID: FedRAMP High AU-3 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace možností auditu Azure | CMA_C1108 – Konfigurace možností auditu Azure | Ručně, zakázáno | 1.1.1 |
Auditovat kapacitu úložiště
ID: FedRAMP High AU-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení a monitorování aktivit zpracování auditu | CMA_0289 – Řízení a monitorování aktivit zpracování auditu | Ručně, zakázáno | 1.1.0 |
Reakce na selhání zpracování auditu
ID: FedRAMP High AU-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení a monitorování aktivit zpracování auditu | CMA_0289 – Řízení a monitorování aktivit zpracování auditu | Ručně, zakázáno | 1.1.0 |
Výstrahy v reálném čase
ID: FedRAMP High AU-5 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Poskytování výstrah v reálném čase pro selhání událostí auditu | CMA_C1114 – poskytování výstrah v reálném čase pro selhání událostí auditu | Ručně, zakázáno | 1.1.0 |
Kontrola auditu, analýza a generování sestav
ID: FedRAMP High AU-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 6.0.0-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Korelace záznamů auditu | CMA_0087 – Korelace záznamů auditu | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na kontrolu auditu a vytváření sestav | CMA_0277 – Vytvoření požadavků na kontrolu auditu a vytváření sestav | Ručně, zakázáno | 1.1.0 |
| Integrace kontroly auditu, analýzy a generování sestav | CMA_0339 – Integrace kontroly auditu, analýzy a generování sestav | Ručně, zakázáno | 1.1.0 |
| Integrace zabezpečení cloudových aplikací se siem | CMA_0340 – Integrace zabezpečení cloudových aplikací se siem | Ručně, zakázáno | 1.1.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Kontrola protokolů zřizování účtů | CMA_0460 – Kontrola protokolů zřizování účtů | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola přiřazení správců | CMA_0461 – týdenní kontrola přiřazení správců | Ručně, zakázáno | 1.1.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
| Přehled sestavy cloudových identit | CMA_0468 – Přehled sestav cloudových identit | Ručně, zakázáno | 1.1.0 |
| Kontrola událostí přístupu k řízeným složkům | CMA_0471 – Kontrola kontrolovaných událostí přístupu ke složce | Ručně, zakázáno | 1.1.0 |
| Kontrola aktivity souborů a složek | CMA_0473 – Kontrola aktivity souborů a složek | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola změn skupin rolí | CMA_0476 – týdenní kontrola změn skupin rolí | Ručně, zakázáno | 1.1.0 |
Integrace procesů
ID: FedRAMP High AU-6 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Korelace záznamů auditu | CMA_0087 – Korelace záznamů auditu | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na kontrolu auditu a vytváření sestav | CMA_0277 – Vytvoření požadavků na kontrolu auditu a vytváření sestav | Ručně, zakázáno | 1.1.0 |
| Integrace kontroly auditu, analýzy a generování sestav | CMA_0339 – Integrace kontroly auditu, analýzy a generování sestav | Ručně, zakázáno | 1.1.0 |
| Integrace zabezpečení cloudových aplikací se siem | CMA_0340 – Integrace zabezpečení cloudových aplikací se siem | Ručně, zakázáno | 1.1.0 |
| Kontrola protokolů zřizování účtů | CMA_0460 – Kontrola protokolů zřizování účtů | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola přiřazení správců | CMA_0461 – týdenní kontrola přiřazení správců | Ručně, zakázáno | 1.1.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
| Přehled sestavy cloudových identit | CMA_0468 – Přehled sestav cloudových identit | Ručně, zakázáno | 1.1.0 |
| Kontrola událostí přístupu k řízeným složkům | CMA_0471 – Kontrola kontrolovaných událostí přístupu ke složce | Ručně, zakázáno | 1.1.0 |
| Kontrola aktivity souborů a složek | CMA_0473 – Kontrola aktivity souborů a složek | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola změn skupin rolí | CMA_0476 – týdenní kontrola změn skupin rolí | Ručně, zakázáno | 1.1.0 |
Korelace úložišť auditu
ID: FedRAMP High AU-6 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Korelace záznamů auditu | CMA_0087 – Korelace záznamů auditu | Ručně, zakázáno | 1.1.0 |
| Integrace zabezpečení cloudových aplikací se siem | CMA_0340 – Integrace zabezpečení cloudových aplikací se siem | Ručně, zakázáno | 1.1.0 |
Centrální kontrola a analýza
ID: FedRAMP High AU-6 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 6.0.0-preview |
| [Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. | Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc | Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v účtech Batch by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v centru událostí by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě IoT Hub by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 3.1.0 |
| Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v Logic Apps by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.1.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Service Bus by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Integrace / kontrola a monitorování možností
ID: FedRAMP High AU-6 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 6.0.0-preview |
| [Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. | Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc | Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.3 |
| Integrace analýzy záznamů auditu | CMA_C1120 – Integrace analýzy záznamů auditu | Ručně, zakázáno | 1.1.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v účtech Batch by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v centru událostí by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě IoT Hub by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 3.1.0 |
| Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v Logic Apps by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.1.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Service Bus by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Povolené akce
ID: FedRAMP High AU-6 (7) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Určení povolených akcí přidružených k informacím o auditu zákazníka | CMA_C1122 – Určení povolených akcí přidružených k informacím o auditu zákazníka | Ručně, zakázáno | 1.1.0 |
Úprava na úrovni auditu
ID: FedRAMP High AU-6 (10) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Úprava úrovně kontroly auditu, analýzy a generování sestav | CMA_C1123 – Úprava úrovně kontroly auditu, analýzy a generování sestav | Ručně, zakázáno | 1.1.0 |
Snížení auditování a generování sestav
ID: FedRAMP High AU-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ujistěte se, že záznamy auditu nejsou změněné. | CMA_C1125 – Ujistěte se, že záznamy auditu nejsou změněné. | Ručně, zakázáno | 1.1.0 |
| Zajištění kontroly auditu, analýzy a vytváření sestav | CMA_C1124 – poskytování kontroly auditu, analýzy a vytváření sestav | Ručně, zakázáno | 1.1.0 |
Automatické zpracování
ID: FedRAMP High AU-7 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Poskytování možností zpracování záznamů auditu kontrolovaných zákazníkem | CMA_C1126 – poskytování možností zpracování záznamů auditu kontrolovaných zákazníkem | Ručně, zakázáno | 1.1.0 |
Časová razítka
ID: FedRAMP High AU-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití systémových hodin pro záznamy auditu | CMA_0535 – Použití systémových hodin pro záznamy auditu | Ručně, zakázáno | 1.1.0 |
Synchronizace s autoritativním zdrojem času
ID: FedRAMP High AU-8 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití systémových hodin pro záznamy auditu | CMA_0535 – Použití systémových hodin pro záznamy auditu | Ručně, zakázáno | 1.1.0 |
Ochrana informací o auditu
ID: FedRAMP High AU-9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Povolení duální nebo společné autorizace | CMA_0226 – Povolení duálního nebo společného autorizace | Ručně, zakázáno | 1.1.0 |
| Ochrana informací o auditu | CMA_0401 – Ochrana informací o auditu | Ručně, zakázáno | 1.1.0 |
Audit zálohování na samostatných fyzických systémech nebo komponentách
ID: FedRAMP High AU-9 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření zásad a postupů zálohování | CMA_0268 – Vytvoření zásad a postupů zálohování | Ručně, zakázáno | 1.1.0 |
Kryptografická ochrana
ID: FedRAMP High AU-9 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zachování integrity systému auditu | CMA_C1133 – zachování integrity systému auditu | Ručně, zakázáno | 1.1.0 |
Přístup podle podmnožina privilegovaných uživatelů
ID: FedRAMP High AU-9 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ochrana informací o auditu | CMA_0401 – Ochrana informací o auditu | Ručně, zakázáno | 1.1.0 |
Neodvolatelnost
ID: FedRAMP High AU-10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Stanovení požadavků na elektronický podpis a certifikát | CMA_0271 – Stanovení požadavků na elektronický podpis a certifikát | Ručně, zakázáno | 1.1.0 |
Uchovávání záznamů auditu
ID: FedRAMP High AU-11 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Dodržování definovaných období uchovávání | CMA_0004 – dodržování definovaných období uchovávání | Ručně, zakázáno | 1.1.0 |
| Zachování zásad a postupů zabezpečení | CMA_0454 – Zachování zásad a postupů zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zachování ukončených uživatelských dat | CMA_0455 – Zachování ukončených uživatelských dat | Ručně, zakázáno | 1.1.0 |
| SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Serveru na cíl účtu úložiště na nejméně 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů. | AuditIfNotExists, zakázáno | 3.0.0 |
Generování auditu
ID: FedRAMP High AU-12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 6.0.0-preview |
| [Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. | Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc | Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v účtech Batch by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v centru událostí by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě IoT Hub by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 3.1.0 |
| Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v Logic Apps by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.1.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Service Bus by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Záznam auditu korelovaný pro celý systém / čas
ID: FedRAMP High AU-12 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 6.0.0-preview |
| [Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. | Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc | Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Kompilace záznamů auditu do systémového auditu | CMA_C1140 – Kompilace záznamů auditu do celého systému auditu | Ručně, zakázáno | 1.1.0 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v účtech Batch by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v centru událostí by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě IoT Hub by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 3.1.0 |
| Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v Logic Apps by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.1.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Service Bus by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Změny autorizovanými osobami
ID: FedRAMP High AU-12 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Poskytnutí možnosti rozšíření nebo omezení auditování prostředků nasazených zákazníkem | CMA_C1141 – Poskytnutí možnosti rozšíření nebo omezení auditování prostředků nasazených zákazníkem | Ručně, zakázáno | 1.1.0 |
Posouzení a autorizace zabezpečení
Zásady a postupy posouzení zabezpečení a autorizace
ID: FedRAMP High CA-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola zásad a postupů posouzení zabezpečení a autorizace | CMA_C1143 – Kontrola zásad a postupů a zásad autorizace zabezpečení | Ručně, zakázáno | 1.1.0 |
Posouzení zabezpečení
ID: FedRAMP High CA-2 Ownership: Shared
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Posouzení bezpečnostních prvků | CMA_C1145 – posouzení bezpečnostních prvků | Ručně, zakázáno | 1.1.0 |
| Doručování výsledků posouzení zabezpečení | CMA_C1147 – Poskytování výsledků posouzení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu posouzení zabezpečení | CMA_C1144 – Vývoj plánu posouzení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vytvoření sestavy posouzení zabezpečení | CMA_C1146 – Vytvoření sestavy posouzení zabezpečení | Ručně, zakázáno | 1.1.0 |
Nezávislí hodnotitelé
ID: Vlastnictví FedRAMP High CA-2 (1) : Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zaměstnat nezávislé hodnotitelé k provádění posouzení kontroly zabezpečení | CMA_C1148 – zaměstnat nezávislé hodnotitelé k provádění posouzení kontroly zabezpečení | Ručně, zakázáno | 1.1.0 |
Specializovaná hodnocení
ID: Vlastnictví FedRAMP High CA-2 (2): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Výběr dalšího testování pro posouzení kontroly zabezpečení | CMA_C1149 – Výběr dalšího testování pro posouzení kontroly zabezpečení | Ručně, zakázáno | 1.1.0 |
Externí organizace
ID: Vlastnictví FedRAMP High CA-2 (3): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přijetí výsledků posouzení | CMA_C1150 – Přijetí výsledků posouzení | Ručně, zakázáno | 1.1.0 |
Propojení systému
ID: FedRAMP High CA-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vyžadování smluv o zabezpečení propojení | CMA_C1151 – Vyžadovat dohody o zabezpečení propojení | Ručně, zakázáno | 1.1.0 |
| Aktualizace smluv o zabezpečení propojení | CMA_0519 – aktualizace dohod o zabezpečení propojení | Ručně, zakázáno | 1.1.0 |
Neotříděná připojení jiných než národních systémů zabezpečení
ID: Vlastnictví FedRAMP High CA-3 (3): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace ochrany hranic systému | CMA_0328 – Implementace ochrany hranic systému | Ručně, zakázáno | 1.1.0 |
Omezení připojení externího systému
ID: Vlastnictví FedRAMP High CA-3 (5) : Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Využívání omezení propojení externích systémů | CMA_C1155 – zaměstnat omezení pro propojení externích systémů | Ručně, zakázáno | 1.1.0 |
Plán akcí a milníků
ID: FedRAMP High CA-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj POA&M | CMA_C1156 – Vývoj POA&M | Ručně, zakázáno | 1.1.0 |
| Aktualizace položek POA&M | CMA_C1157 – Aktualizace položek POA&M | Ručně, zakázáno | 1.1.0 |
Autorizace zabezpečení
ID: FedRAMP High CA-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přiřazení autorizačního úřadu (AO) | CMA_C1158 – přiřazení autorizačního úřadu (AO) | Ručně, zakázáno | 1.1.0 |
| Ujistěte se, že jsou prostředky autorizované. | CMA_C1159 – Ujistěte se, že jsou prostředky autorizované. | Ručně, zakázáno | 1.1.0 |
| Aktualizace autorizace zabezpečení | CMA_C1160 – aktualizace autorizace zabezpečení | Ručně, zakázáno | 1.1.0 |
Průběžné monitorování
ID: FedRAMP High CA-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace seznamu povolených zjišťování | CMA_0068 – Konfigurace seznamu povolených zjišťování | Ručně, zakázáno | 1.1.0 |
| Zapnutí senzorů pro řešení zabezpečení koncových bodů | CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů | Ručně, zakázáno | 1.1.0 |
| Projít nezávislou kontrolou zabezpečení | CMA_0515 – Projděte si nezávislou kontrolu zabezpečení | Ručně, zakázáno | 1.1.0 |
Nezávislé posouzení
ID: FedRAMP High CA-7 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Využití nezávislých vyhodnocovačů pro průběžné monitorování | CMA_C1168 – zaměstnat nezávislé hodnotitelé pro průběžné monitorování | Ručně, zakázáno | 1.1.0 |
Analýzy trendů
ID: Vlastnictví FedRAMP High CA-7 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Analýza dat získaných z průběžného monitorování | CMA_C1169 – Analýza dat získaných z průběžného monitorování | Ručně, zakázáno | 1.1.0 |
Nezávislý penetrační agent nebo tým
ID: Vlastnictví FedRAMP High CA-8 (1) : Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Využití nezávislého týmu pro penetrační testování | CMA_C1171 – zaměstnat nezávislý tým pro penetrační testování | Ručně, zakázáno | 1.1.0 |
Interní systémová připojení
ID: FedRAMP High CA-9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Před vytvořením interních připojení zkontrolujte dodržování předpisů v oblasti ochrany osobních údajů a zabezpečení. | CMA_0053 – Před vytvořením interních připojení zkontrolujte dodržování předpisů v oblasti ochrany osobních údajů a zabezpečení. | Ručně, zakázáno | 1.1.0 |
Správa konfigurace
Zásady a postupy správy konfigurace
ID: FedRAMP High CM-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace zásad a postupů správy konfigurace | CMA_C1175 – Kontrola a aktualizace zásad a postupů správy konfigurace | Ručně, zakázáno | 1.1.0 |
Standardní konfigurace
ID: FedRAMP High CM-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace akcí pro zařízení nedodržující předpisy | CMA_0062 – Konfigurace akcí pro zařízení nedodržující předpisy | Ručně, zakázáno | 1.1.0 |
| Vývoj a údržba standardních konfigurací | CMA_0153 – Vývoj a údržba standardních konfigurací | Ručně, zakázáno | 1.1.0 |
| Vynucení nastavení konfigurace zabezpečení | CMA_0249 – Vynucení nastavení konfigurace zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vytvoření řídicí desky konfigurace | CMA_0254 – Vytvoření řídicí desky konfigurace | Ručně, zakázáno | 1.1.0 |
| Vytvoření a zdokumentování plánu správy konfigurace | CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace | Ručně, zakázáno | 1.1.0 |
| Implementace automatizovaného nástroje pro správu konfigurace | CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace | Ručně, zakázáno | 1.1.0 |
Podpora automatizace pro přesnost / měnu
ID: Vlastnictví FedRAMP High CM-2 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace akcí pro zařízení nedodržující předpisy | CMA_0062 – Konfigurace akcí pro zařízení nedodržující předpisy | Ručně, zakázáno | 1.1.0 |
| Vývoj a údržba standardních konfigurací | CMA_0153 – Vývoj a údržba standardních konfigurací | Ručně, zakázáno | 1.1.0 |
| Vynucení nastavení konfigurace zabezpečení | CMA_0249 – Vynucení nastavení konfigurace zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vytvoření řídicí desky konfigurace | CMA_0254 – Vytvoření řídicí desky konfigurace | Ručně, zakázáno | 1.1.0 |
| Vytvoření a zdokumentování plánu správy konfigurace | CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace | Ručně, zakázáno | 1.1.0 |
| Implementace automatizovaného nástroje pro správu konfigurace | CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace | Ručně, zakázáno | 1.1.0 |
Uchovávání předchozích konfigurací
ID: FedRAMP High CM-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zachování předchozích verzí standardních konfigurací | CMA_C1181 – Zachování předchozích verzí standardních konfigurací | Ručně, zakázáno | 1.1.0 |
Konfigurace systémů, komponent nebo zařízení pro vysoce rizikové oblasti
ID: Vlastnictví FedRAMP High CM-2 (7) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zajištění bezpečnostních záruk, které nejsou potřeba, když se jednotlivci vrátí | CMA_C1183 – zajištění bezpečnostních záruk, které nejsou potřeba, když se jednotlivci vrátí | Ručně, zakázáno | 1.1.0 |
| Neumožňuje, aby informační systémy doprovázely jednotlivce | CMA_C1182 – nepovoluje, aby informační systémy doprovázely jednotlivce | Ručně, zakázáno | 1.1.0 |
Řízení změn konfigurace
ID: FedRAMP High CM-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Analýza dopadu na zabezpečení | CMA_0057 – Provedení analýzy dopadu na zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vývoj a údržba standardu správa ohrožení zabezpečení | CMA_0152 – vývoj a údržba standardu správa ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vytvoření strategie řízení rizik | CMA_0258 – Vytvoření strategie řízení rizik | Ručně, zakázáno | 1.1.0 |
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na správu konfigurace pro vývojáře | CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře | Ručně, zakázáno | 1.1.0 |
| Posouzení dopadu ochrany osobních údajů | CMA_0387 – provedení posouzení dopadu ochrany osobních údajů | Ručně, zakázáno | 1.1.0 |
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
| Provedení auditu pro řízení změn konfigurace | CMA_0390 – provedení auditu řízení změn konfigurace | Ručně, zakázáno | 1.1.0 |
Automatizovaný dokument / oznámení / zákaz změn
ID: FedRAMP High CM-3 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Automatizace žádosti o schválení pro navrhované změny | CMA_C1192 – Automatizace žádosti o schválení navrhovaných změn | Ručně, zakázáno | 1.1.0 |
| Automatizace implementace schválených oznámení o změnách | CMA_C1196 – Automatizace implementace schválených oznámení o změnách | Ručně, zakázáno | 1.1.0 |
| Automatizace procesu do dokumentu implementovaných změn | CMA_C1195 – Automatizace procesu pro dokumentaci implementovaných změn | Ručně, zakázáno | 1.1.0 |
| Automatizace procesu zvýrazňování nerevidovaných návrhů změn | CMA_C1193 – Automatizace procesu zvýrazňování nerevidovaných návrhů změn | Ručně, zakázáno | 1.1.0 |
| Automatizace procesu, který zakáže implementaci neschválené změny | CMA_C1194 – Automatizace procesu, který zakáže implementaci neschválené změny | Ručně, zakázáno | 1.1.0 |
| Automatizace navrhovaných dokumentovaných změn | CMA_C1191 – Automatizace navrhovaných dokumentovaných změn | Ručně, zakázáno | 1.1.0 |
Testování/ ověření / změny dokumentu
ID: FedRAMP High CM-3 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na správu konfigurace pro vývojáře | CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře | Ručně, zakázáno | 1.1.0 |
| Provedení auditu pro řízení změn konfigurace | CMA_0390 – provedení auditu řízení změn konfigurace | Ručně, zakázáno | 1.1.0 |
Zástupce zabezpečení
ID: FedRAMP High CM-3 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přiřazení zástupce pro zabezpečení informací pro změnu řízení | CMA_C1198 – přiřazení zástupce pro zabezpečení informací ke změně řízení | Ručně, zakázáno | 1.1.0 |
Správa kryptografie
ID: FedRAMP High CM-3 (6) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ujistěte se, že jsou kryptografické mechanismy pod správou konfigurace. | CMA_C1199 – Ujistěte se, že jsou kryptografické mechanismy pod správou konfigurace. | Ručně, zakázáno | 1.1.0 |
Analýza dopadu na zabezpečení
ID: FedRAMP High CM-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Analýza dopadu na zabezpečení | CMA_0057 – Provedení analýzy dopadu na zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vývoj a údržba standardu správa ohrožení zabezpečení | CMA_0152 – vývoj a údržba standardu správa ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vytvoření strategie řízení rizik | CMA_0258 – Vytvoření strategie řízení rizik | Ručně, zakázáno | 1.1.0 |
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na správu konfigurace pro vývojáře | CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře | Ručně, zakázáno | 1.1.0 |
| Posouzení dopadu ochrany osobních údajů | CMA_0387 – provedení posouzení dopadu ochrany osobních údajů | Ručně, zakázáno | 1.1.0 |
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
| Provedení auditu pro řízení změn konfigurace | CMA_0390 – provedení auditu řízení změn konfigurace | Ručně, zakázáno | 1.1.0 |
Samostatná testovací prostředí
ID: FedRAMP High CM-4 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Analýza dopadu na zabezpečení | CMA_0057 – Provedení analýzy dopadu na zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na správu konfigurace pro vývojáře | CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře | Ručně, zakázáno | 1.1.0 |
| Posouzení dopadu ochrany osobních údajů | CMA_0387 – provedení posouzení dopadu ochrany osobních údajů | Ručně, zakázáno | 1.1.0 |
| Provedení auditu pro řízení změn konfigurace | CMA_0390 – provedení auditu řízení změn konfigurace | Ručně, zakázáno | 1.1.0 |
Omezení přístupu pro změnu
ID: FedRAMP High CM-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
Automatizované vynucování přístupu / auditování
ID: FedRAMP High CM-5 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vynucení a audit omezení přístupu | CMA_C1203 – Vynucení a audit omezení přístupu | Ručně, zakázáno | 1.1.0 |
Kontrola systémových změn
ID: Vlastnictví FedRAMP High CM-5 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola změn neautorizovaných změn | CMA_C1204 – Kontrola změn neautorizovaných změn | Ručně, zakázáno | 1.1.0 |
Podepsané komponenty
ID: FedRAMP High CM-5 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Omezení neoprávněné instalace softwaru a firmwaru | CMA_C1205 – Omezení neoprávněné instalace softwaru a firmwaru | Ručně, zakázáno | 1.1.0 |
Omezení produkčních nebo provozních oprávnění
ID: FedRAMP High CM-5 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Omezení oprávnění k provádění změn v produkčním prostředí | CMA_C1206 – Omezení oprávnění k provádění změn v produkčním prostředí | Ručně, zakázáno | 1.1.0 |
| Kontrola a opětovné posouzení oprávnění | CMA_C1207 – Kontrola a opětovné posouzení oprávnění | Ručně, zakázáno | 1.1.0 |
Nastavení konfigurace
ID: FedRAMP High CM-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. | Doplněk Azure Policy pro službu Kubernetes Service (AKS) rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby v clusterech použil centralizované a konzistentní zabezpečení vynucování ve velkém měřítku a bezpečnostní opatření. | Audit, zakázáno | 1.0.2 |
| Vynucení nastavení konfigurace zabezpečení | CMA_0249 – Vynucení nastavení konfigurace zabezpečení | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.3.0 |
| Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele | Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.2.0 |
| Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.3.0 |
| Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.3.0 |
| Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.2.0 |
| Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.2.0 |
| Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.2.0 |
| Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.2.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
| Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.0.0 |
Automatizovaná centrální správa / aplikace / ověření
ID: FedRAMP High CM-6 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vynucení nastavení konfigurace zabezpečení | CMA_0249 – Vynucení nastavení konfigurace zabezpečení | Ručně, zakázáno | 1.1.0 |
| Řízení dodržování předpisů poskytovatelů cloudových služeb | CMA_0290 – Řízení dodržování předpisů poskytovatelů cloudových služeb | Ručně, zakázáno | 1.1.0 |
| Zobrazení a konfigurace diagnostických dat systému | CMA_0544 – Zobrazení a konfigurace diagnostických dat systému | Ručně, zakázáno | 1.1.0 |
Nejnižší funkčnost
ID: FedRAMP High CM-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
Inventář komponent informačního systému
ID: FedRAMP High CM-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření inventáře dat | CMA_0096 – Vytvoření inventáře dat | Ručně, zakázáno | 1.1.0 |
| Udržovat záznamy o zpracování osobních údajů | CMA_0353 - Udržování záznamů o zpracování osobních údajů | Ručně, zakázáno | 1.1.0 |
Aktualizace během instalací / odebrání
ID: Vlastnictví FedRAMP High CM-8 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření inventáře dat | CMA_0096 – Vytvoření inventáře dat | Ručně, zakázáno | 1.1.0 |
| Udržovat záznamy o zpracování osobních údajů | CMA_0353 - Udržování záznamů o zpracování osobních údajů | Ručně, zakázáno | 1.1.0 |
Automatizovaná detekce neautorizovaných komponent
ID: FedRAMP High CM-8 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Povolení detekce síťových zařízení | CMA_0220 – Povolení detekce síťových zařízení | Ručně, zakázáno | 1.1.0 |
| Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | Ručně, zakázáno | 1.1.0 |
Informace o odpovědnosti
ID: Vlastnictví FedRAMP High CM-8 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření inventáře dat | CMA_0096 – Vytvoření inventáře dat | Ručně, zakázáno | 1.1.0 |
| Vytvoření a údržba inventáře aktiv | CMA_0266 – Vytvoření a údržba inventáře prostředků | Ručně, zakázáno | 1.1.0 |
Plán správy konfigurace
ID: FedRAMP High CM-9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření ochrany plánu konfigurace | CMA_C1233 – Vytvoření ochrany plánu konfigurace | Ručně, zakázáno | 1.1.0 |
| Vývoj a údržba standardních konfigurací | CMA_0153 – Vývoj a údržba standardních konfigurací | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu identifikace položek konfigurace | CMA_C1231 – Vývoj identifikačního plánu položky konfigurace | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu správy konfigurace | CMA_C1232 – Vývoj plánu správy konfigurace | Ručně, zakázáno | 1.1.0 |
| Vytvoření a zdokumentování plánu správy konfigurace | CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace | Ručně, zakázáno | 1.1.0 |
| Implementace automatizovaného nástroje pro správu konfigurace | CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace | Ručně, zakázáno | 1.1.0 |
Omezení využití softwaru
ID: FedRAMP High CM-10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vyžadovat dodržování práv duševního vlastnictví | CMA_0432 – Vyžadování dodržování práv duševního vlastnictví | Ručně, zakázáno | 1.1.0 |
| Sledování využití softwarových licencí | CMA_C1235 – Sledování využití softwarových licencí | Ručně, zakázáno | 1.1.0 |
Open Source Software
ID: FedRAMP High CM-10 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Omezení používání opensourcového softwaru | CMA_C1237 – Omezení používání opensourcového softwaru | Ručně, zakázáno | 1.1.0 |
Plánování nepředvídaných událostí
Zásady a postupy plánování nepředvídaných událostí
ID: FedRAMP High CP-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace zásad a postupů plánování nepředvídaných událostí | CMA_C1243 – kontrola a aktualizace zásad a postupů plánování nepředvídaných událostí | Ručně, zakázáno | 1.1.0 |
Plán nepředvídaných událostí
ID: FedRAMP High CP-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Komunikujte o změnách plánu nepředvídaných událostí | CMA_C1249 – komunikujte o změnách plánu nepředvídaných událostí | Ručně, zakázáno | 1.1.0 |
| Koordinace plánů nepředvídaných událostí se souvisejícími plány | CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány | Ručně, zakázáno | 1.1.0 |
| Vývoj a zdokumentování plánu provozní kontinuity a zotavení po havárii | CMA_0146 – Vývoj a zdokumentování plánu provozní kontinuity a zotavení po havárii | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu nepředvídaných událostí | CMA_C1244 – vývoj plánu nepředvídaných událostí | Ručně, zakázáno | 1.1.0 |
| Vývoj zásad a postupů plánování nepředvídaných událostí | CMA_0156 – vývoj zásad a postupů plánování nepředvídaných událostí | Ručně, zakázáno | 1.1.0 |
| Distribuce zásad a postupů | CMA_0185 – Distribuce zásad a postupů | Ručně, zakázáno | 1.1.0 |
| Kontrola plánu nepředvídaných událostí | CMA_C1247 – kontrola plánu nepředvídaných událostí | Ručně, zakázáno | 1.1.0 |
| Aktualizace plánu nepředvídaných událostí | CMA_C1248 – aktualizace plánu nepředvídaných událostí | Ručně, zakázáno | 1.1.0 |
Koordinace se souvisejícími plány
ID: FedRAMP High CP-2 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Koordinace plánů nepředvídaných událostí se souvisejícími plány | CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány | Ručně, zakázáno | 1.1.0 |
Plánování kapacit
ID: FedRAMP High CP-2 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Plánování kapacity | CMA_C1252 – Plánování kapacity | Ručně, zakázáno | 1.1.0 |
Obnovení základních misí / obchodních funkcí
ID: FedRAMP High CP-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Plánování obnovení základních obchodních funkcí | CMA_C1253 – plán obnovení základních obchodních funkcí | Ručně, zakázáno | 1.1.0 |
Obnovení všech misí / obchodních funkcí
ID: FedRAMP High CP-2 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Obnovení všech funkcí poslání a obchodních funkcí | CMA_C1254 – obnovení všech funkcí poslání a obchodních funkcí | Ručně, zakázáno | 1.1.0 |
Pokračovat v základních misích / obchodních funkcích
ID: FedRAMP High CP-2 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Plánování kontinuance základních obchodních funkcí | CMA_C1255 – plánování kontinuance základních obchodních funkcí | Ručně, zakázáno | 1.1.0 |
Identifikace kritických prostředků
ID: FedRAMP High CP-2 (8) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Posouzení obchodních dopadů a posouzení závažnosti aplikací | CMA_0386 – Provedení posouzení obchodních dopadů a posouzení závažnosti aplikací | Ručně, zakázáno | 1.1.0 |
Nepředvídané školení
ID: FedRAMP High CP-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zajištění nepředvídaného školení | CMA_0412 – poskytování nepředvídaných školení | Ručně, zakázáno | 1.1.0 |
Simulované události
ID: FedRAMP High CP-3 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Začlenění simulovaného nepředvídaného trénování | CMA_C1260 – začlenění simulovaného nepředvídaného trénování | Ručně, zakázáno | 1.1.0 |
Testování plánu nepředvídaných událostí
ID: FedRAMP High CP-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zahájení nápravných akcí pro testování plánu nepředvídaných událostí | CMA_C1263 – Zahájení nápravných akcí pro testování nepředvídaných plánů | Ručně, zakázáno | 1.1.0 |
| Kontrola výsledků testování plánu nepředvídaných událostí | CMA_C1262 – kontrola výsledků testování nepředvídaných plánů | Ručně, zakázáno | 1.1.0 |
| Testování plánu provozní kontinuity a zotavení po havárii | CMA_0509 – Testování plánu provozní kontinuity a zotavení po havárii | Ručně, zakázáno | 1.1.0 |
Koordinace se souvisejícími plány
ID: FedRAMP High CP-4 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Koordinace plánů nepředvídaných událostí se souvisejícími plány | CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány | Ručně, zakázáno | 1.1.0 |
Web pro alternativní zpracování
ID: FedRAMP High CP-4 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vyhodnocení možností webu pro alternativní zpracování | CMA_C1266 – Vyhodnocení možností webu alternativního zpracování | Ručně, zakázáno | 1.1.0 |
| Testování plánu nepředvídaných událostí v alternativním umístění zpracování | CMA_C1265 – Testovací plán nepředvídaných událostí v alternativním umístění zpracování | Ručně, zakázáno | 1.1.0 |
Alternativní web úložiště
ID: FedRAMP High CP-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ujistěte se, že ochrana lokality alternativního úložiště odpovídá primární lokalitě. | CMA_C1268 – Zajištění ochrany lokality alternativního úložiště odpovídá primární lokalitě | Ručně, zakázáno | 1.1.0 |
| Vytvoření alternativní lokality úložiště pro ukládání a načítání informací o zálohování | CMA_C1267 – Vytvoření alternativní lokality úložiště pro ukládání a načítání informací o zálohování | Ručně, zakázáno | 1.1.0 |
| Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. | Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. | Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. | Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro účty úložiště by mělo být povolené geograficky redundantní úložiště. | Použití geografické redundance k vytváření vysoce dostupných aplikací | Audit, zakázáno | 1.0.0 |
| Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. | Tato zásada audituje jakoukoli službu Azure SQL Database s dlouhodobým geograficky redundantním zálohováním, které není povolené. | AuditIfNotExists, zakázáno | 2.0.0 |
Oddělení od primární lokality
ID: FedRAMP High CP-6 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření samostatných alternativních a primárních lokalit úložiště | CMA_C1269 – Vytvoření samostatných alternativních a primárních lokalit úložiště | Ručně, zakázáno | 1.1.0 |
| Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. | Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. | Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. | Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro účty úložiště by mělo být povolené geograficky redundantní úložiště. | Použití geografické redundance k vytváření vysoce dostupných aplikací | Audit, zakázáno | 1.0.0 |
| Pro azure SQL Database by se mělo povolit dlouhodobé geograficky redundantní zálohování. | Tato zásada audituje jakoukoli službu Azure SQL Database s dlouhodobým geograficky redundantním zálohováním, které není povolené. | AuditIfNotExists, zakázáno | 2.0.0 |
Doba obnovení / cíle bodu
ID: FedRAMP High CP-6 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření alternativní lokality úložiště, která usnadňuje operace obnovení | CMA_C1270 – Vytvoření alternativní lokality úložiště, která usnadňuje operace obnovení | Ručně, zakázáno | 1.1.0 |
Usnadnění
ID: FedRAMP High CP-6 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Identifikace a zmírnění potenciálních problémů v alternativní lokalitě úložiště | CMA_C1271 – Identifikace a zmírnění potenciálních problémů v alternativní lokalitě úložiště | Ručně, zakázáno | 1.1.0 |
Web pro alternativní zpracování
ID: FedRAMP High CP-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | Auditujte virtuální počítače, které nemají nakonfigurované zotavení po havárii. Další informace o zotavení po havárii najdete v tématu https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Vytvoření lokality pro alternativní zpracování | CMA_0262 – Vytvoření lokality pro alternativní zpracování | Ručně, zakázáno | 1.1.0 |
Oddělení od primární lokality
ID: FedRAMP High CP-7 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření lokality pro alternativní zpracování | CMA_0262 – Vytvoření lokality pro alternativní zpracování | Ručně, zakázáno | 1.1.0 |
Usnadnění
ID: FedRAMP High CP-7 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření lokality pro alternativní zpracování | CMA_0262 – Vytvoření lokality pro alternativní zpracování | Ručně, zakázáno | 1.1.0 |
Priorita služby
ID: FedRAMP High CP-7 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření lokality pro alternativní zpracování | CMA_0262 – Vytvoření lokality pro alternativní zpracování | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků pro poskytovatele internetových služeb | CMA_0278 – Stanovení požadavků pro poskytovatele internetových služeb | Ručně, zakázáno | 1.1.0 |
Příprava na použití
ID: FedRAMP High CP-7 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Příprava lokality pro alternativní zpracování pro použití jako provozní lokality | CMA_C1278 – Příprava lokality pro alternativní zpracování pro použití jako provozní lokalita | Ručně, zakázáno | 1.1.0 |
Priorita ustanovení služeb
ID: FedRAMP High CP-8 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Stanovení požadavků pro poskytovatele internetových služeb | CMA_0278 – Stanovení požadavků pro poskytovatele internetových služeb | Ručně, zakázáno | 1.1.0 |
Zálohování informačního systému
ID: FedRAMP High CP-9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro virtuální počítače by měla být povolená služba Azure Backup. | Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 3.0.0 |
| Zálohování dokumentace k informačnímu systému | CMA_C1289 – Zálohování dokumentace k informačnímu systému | Ručně, zakázáno | 1.1.0 |
| Vytvoření zásad a postupů zálohování | CMA_0268 – Vytvoření zásad a postupů zálohování | Ručně, zakázáno | 1.1.0 |
| Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. | Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. | Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. | Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Trezory klíčů by měly mít povolenou ochranu před odstraněním. | Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Trezory klíčů by měly mít povolené obnovitelné odstranění. | Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. | Audit, Odepřít, Zakázáno | 3.0.0 |
Samostatné úložiště pro důležité informace
ID: FedRAMP High CP-9 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Samostatně ukládat informace o zálohování | CMA_C1293 – Samostatně ukládat informace o zálohování | Ručně, zakázáno | 1.1.0 |
Přenos na alternativní lokalitu úložiště
ID: FedRAMP High CP-9 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přenos informací o zálohování do alternativní lokality úložiště | CMA_C1294 – Přenos informací o zálohování do alternativní lokality úložiště | Ručně, zakázáno | 1.1.0 |
Obnovení a rekonstituce informačního systému
ID: FedRAMP High CP-10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Obnovení a rekonstituce prostředků po přerušení | CMA_C1295 – obnovení a rekonstituce prostředků po přerušení | Ručně, zakázáno | 1.1.1 |
Obnovení transakcí
ID: FedRAMP High CP-10 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace obnovení založeného na transakcích | CMA_C1296 – Implementace obnovení založeného na transakcích | Ručně, zakázáno | 1.1.0 |
Obnovení během časového období
ID: FedRAMP High CP-10 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Obnovení prostředků do provozního stavu | CMA_C1297 – Obnovení prostředků do provozního stavu | Ručně, zakázáno | 1.1.1 |
Identifikace a ověřování
Zásady a postupy identifikace a ověřování
ID: FedRAMP High IA-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace zásad a postupů identifikace a ověřování | CMA_C1299 – Kontrola a aktualizace zásad a postupů identifikace a ověřování | Ručně, zakázáno | 1.1.0 |
Identifikace a ověřování (uživatelé organizace)
ID: FedRAMP High IA-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Vynucení jedinečnosti uživatele | CMA_0250 – vynucování jedinečnosti uživatele | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
| Podpora přihlašovacích údajů pro osobní ověření vydaných právními orgány | CMA_0507 – Podpora osobních ověřovacích přihlašovacích údajů vydaných právními orgány | Ručně, zakázáno | 1.1.0 |
Síťový přístup k privilegovaným účtům
ID: FedRAMP High IA-2 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Přijetí biometrických mechanismů ověřování | CMA_0005 – přijetí biometrických mechanismů ověřování | Ručně, zakázáno | 1.1.0 |
Síťový přístup k neprivilegovaným účtům
ID: FedRAMP High IA-2 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Přijetí biometrických mechanismů ověřování | CMA_0005 – přijetí biometrických mechanismů ověřování | Ručně, zakázáno | 1.1.0 |
Místní přístup k privilegovaným účtům
ID: FedRAMP High IA-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přijetí biometrických mechanismů ověřování | CMA_0005 – přijetí biometrických mechanismů ověřování | Ručně, zakázáno | 1.1.0 |
Ověřování skupin
ID: FedRAMP High IA-2 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vyžadování použití jednotlivých ověřovacích prostředků | CMA_C1305 – Vyžadování použití jednotlivých ověřovacích prostředků | Ručně, zakázáno | 1.1.0 |
Vzdálený přístup – samostatné zařízení
ID: FedRAMP High IA-2 (11) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přijetí biometrických mechanismů ověřování | CMA_0005 – přijetí biometrických mechanismů ověřování | Ručně, zakázáno | 1.1.0 |
| Identifikace a ověřování síťových zařízení | CMA_0296 – Identifikace a ověřování síťových zařízení | Ručně, zakázáno | 1.1.0 |
Přijetí přihlašovacích údajů piv
ID: FedRAMP High IA-2 (12) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Podpora přihlašovacích údajů pro osobní ověření vydaných právními orgány | CMA_0507 – Podpora osobních ověřovacích přihlašovacích údajů vydaných právními orgány | Ručně, zakázáno | 1.1.0 |
Správa identifikátorů
ID: FedRAMP High IA-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Přiřazení systémových identifikátorů | CMA_0018 – Přiřazení systémových identifikátorů | Ručně, zakázáno | 1.1.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Zabránění opakovanému použití identifikátoru pro definované časové období | CMA_C1314 – Zabránění opakovanému použití identifikátoru pro definované časové období | Ručně, zakázáno | 1.1.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
Identifikace stavu uživatele
ID: FedRAMP High IA-4 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Identifikace stavu jednotlivých uživatelů | CMA_C1316 – identifikace stavu jednotlivých uživatelů | Ručně, zakázáno | 1.1.0 |
Správa authenticatoru
ID: FedRAMP High IA-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644 | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování | AuditIfNotExists, zakázáno | 2.0.0 |
| Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, zakázáno | 3.2.0 |
| Certifikáty by měly mít zadanou maximální dobu platnosti. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby, po kterou může být certifikát platný v rámci trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.2.1 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Vytvoření typů a procesů authenticatoru | CMA_0267 – Vytvoření typů a procesů ověřování | Ručně, zakázáno | 1.1.0 |
| Vytvoření postupů pro počáteční distribuci ověřovacího objektu | CMA_0276 – Vytvoření postupů pro počáteční distribuci ověřovacího objektu | Ručně, zakázáno | 1.1.0 |
| Implementace trénování pro ochranu ověřovacích modulů | CMA_0329 – Implementace trénování pro ochranu ověřovacích metod | Ručně, zakázáno | 1.1.0 |
| Klíče služby Key Vault by měly mít datum vypršení platnosti. | Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Tajné kódy služby Key Vault by měly mít datum vypršení platnosti. | Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Správa doby života a opakovaného použití authenticatoru | CMA_0355 – Správa doby života a opakovaného použití ověřovacího programu | Ručně, zakázáno | 1.1.0 |
| Správa authenticátorů | CMA_C1321 – Správa ověřovacích modulů | Ručně, zakázáno | 1.1.0 |
| Aktualizace ověřovacích modulů | CMA_0425 – aktualizace ověřovacích modulů | Ručně, zakázáno | 1.1.0 |
| Reissue authenticators for changed groups and accounts | CMA_0426 – reissue authenticátory pro změněné skupiny a účty | Ručně, zakázáno | 1.1.0 |
| Ověření identity před distribucí ověřovacích modulů | CMA_0538 – Ověření identity před distribucí ověřovacích modulů | Ručně, zakázáno | 1.1.0 |
Ověřování založené na heslech
ID: FedRAMP High IA-5 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644 | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. Výchozí hodnota pro jedinečná hesla je 24 | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditování počítačů s Windows, které nemají maximální stáří hesla nastavené na zadaný počet dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají nastavený maximální věk hesla na zadaný počet dní. Výchozí hodnota maximálního stáří hesla je 70 dnů. | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditovat počítače s Windows, které nemají nastavený minimální věk hesla na zadaný počet dnů | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, u kterých není nastavený minimální věk hesla nastavený na zadaný počet dní. Výchozí hodnota pro minimální stáří hesla je 1 den. | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditovat počítače s Windows, které nemají povolené nastavení složitosti hesla | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají povolené nastavení složitosti hesla | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows neomezují minimální délku hesla na zadaný počet znaků. Výchozí hodnota minimální délky hesla je 14 znaků. | AuditIfNotExists, zakázáno | 2.1.0 |
| Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování | AuditIfNotExists, zakázáno | 2.0.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách | CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv | Ručně, zakázáno | 1.1.0 |
| Vytvoření zásady hesel | CMA_0256 – Vytvoření zásad hesel | Ručně, zakázáno | 1.1.0 |
| Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami | CMA_0321 – Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami | Ručně, zakázáno | 1.1.0 |
| Ochrana hesel pomocí šifrování | CMA_0408 – Ochrana hesel pomocí šifrování | Ručně, zakázáno | 1.1.0 |
Ověřování na základě infrastruktury veřejných klíčů
ID: FedRAMP High IA-5 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Dynamické vazby ověřovacích a identit | CMA_0035 – dynamické vazby ověřovacích a identit | Ručně, zakázáno | 1.1.0 |
| Vytvoření typů a procesů authenticatoru | CMA_0267 – Vytvoření typů a procesů ověřování | Ručně, zakázáno | 1.1.0 |
| Vytvoření parametrů pro vyhledávání ověřovacích a ověřovatelů tajných kódů | CMA_0274 – Vytvoření parametrů pro vyhledávání ověřovacích a ověřovatelů tajných kódů | Ručně, zakázáno | 1.1.0 |
| Vytvoření postupů pro počáteční distribuci ověřovacího objektu | CMA_0276 – Vytvoření postupů pro počáteční distribuci ověřovacího objektu | Ručně, zakázáno | 1.1.0 |
| Mapování ověřených identit na jednotlivce | CMA_0372 – mapování ověřených identit na jednotlivce | Ručně, zakázáno | 1.1.0 |
| Omezení přístupu k privátním klíčům | CMA_0445 – Omezení přístupu k privátním klíčům | Ručně, zakázáno | 1.1.0 |
| Ověření identity před distribucí ověřovacích modulů | CMA_0538 – Ověření identity před distribucí ověřovacích modulů | Ručně, zakázáno | 1.1.0 |
Osobně nebo důvěryhodná registrace třetích stran
ID: FedRAMP High IA-5 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Distribuce ověřovacích modulů | CMA_0184 – Distribuce ověřovacích modulů | Ručně, zakázáno | 1.1.0 |
Automatizovaná podpora pro stanovení síly hesla
ID: FedRAMP High IA-5 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách | CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv | Ručně, zakázáno | 1.1.0 |
| Vytvoření zásady hesel | CMA_0256 – Vytvoření zásad hesel | Ručně, zakázáno | 1.1.0 |
| Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami | CMA_0321 – Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami | Ručně, zakázáno | 1.1.0 |
Ochrana ověřovacích prostředků
ID: FedRAMP High IA-5 (6) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ujistěte se, že autorizovaní uživatelé chrání poskytnuté ověřovací objekty. | CMA_C1339 – zajistěte, aby autorizovaní uživatelé chránili poskytnuté ověřovací objekty. | Ručně, zakázáno | 1.1.0 |
Žádné vložené nešifrované statické ověřovací objekty
ID: FedRAMP High IA-5 (7) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ujistěte se, že neexistují žádné nešifrované statické ověřovací objekty. | CMA_C1340 – Ujistěte se, že neexistují žádné nešifrované statické ověřovací objekty. | Ručně, zakázáno | 1.1.0 |
Ověřování založené na hardwarových tokenech
ID: FedRAMP High IA-5 (11) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Splnění požadavků na kvalitu tokenu | CMA_0487 – Splnění požadavků na kvalitu tokenu | Ručně, zakázáno | 1.1.0 |
Vypršení platnosti ověřovacích modulů uložených v mezipaměti
ID: FedRAMP High IA-5 (13) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vynucení vypršení platnosti ověřovacích rutin uložených v mezipaměti | CMA_C1343 – Vynucení vypršení platnosti ověřovacích rutin uložených v mezipaměti | Ručně, zakázáno | 1.1.0 |
Zpětná vazba k ověřovacímu programu
ID: FedRAMP High IA-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Skrytí informací o zpětné vazbě během procesu ověřování | CMA_C1344 – Skrytí informací o zpětné vazbě během procesu ověřování | Ručně, zakázáno | 1.1.0 |
Ověřování kryptografických modulů
ID: FedRAMP High IA-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ověřování v kryptografickém modulu | CMA_0021 – Ověřování v kryptografickém modulu | Ručně, zakázáno | 1.1.0 |
Identifikace a ověřování (uživatelé mimo organizaci)
ID: FedRAMP High IA-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Identifikace a ověřování uživatelů mimo organizaci | CMA_C1346 – Identifikace a ověřování uživatelů mimo organizaci | Ručně, zakázáno | 1.1.0 |
Přijetí přihlašovacích údajů piv od jiných agentur
ID: FedRAMP High IA-8 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přijetí přihlašovacích údajů PIV | CMA_C1347 – Přijetí přihlašovacích údajů PIV | Ručně, zakázáno | 1.1.0 |
Přijetí přihlašovacích údajů třetích stran
ID: FedRAMP High IA-8 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přijmout pouze přihlašovací údaje schválené pro FICAM třetí strany | CMA_C1348 – Přijmout pouze přihlašovací údaje schválené třetí stranou FICAM | Ručně, zakázáno | 1.1.0 |
Použití produktů schválených ficamem
ID: FedRAMP High IA-8 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Využívání prostředků schválených ficam k přijetí přihlašovacích údajů třetích stran | CMA_C1349 – Využívání prostředků schválených ficam k přijetí přihlašovacích údajů třetích stran | Ručně, zakázáno | 1.1.0 |
Použití profilů vystavených ficamem
ID: FedRAMP High IA-8 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vyhovuje profilům vystaveným ficam | CMA_C1350 – Odpovídá profilům vystaveným ficam | Ručně, zakázáno | 1.1.0 |
Reakce na incident
Zásady a postupy reakce na incidenty
ID: Vlastnictví FedRAMP High IR-1: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace zásad a postupů reakce na incidenty | CMA_C1352 – Kontrola a aktualizace zásad a postupů reakce na incidenty | Ručně, zakázáno | 1.1.0 |
Školení k reakcím na incidenty
ID: Vlastnictví FedRAMP High IR-2: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Poskytnutí školení k přelití informací | CMA_0413 – poskytnutí školení k přelití informací | Ručně, zakázáno | 1.1.0 |
Simulované události
ID: Vlastnictví FedRAMP High IR-2 (1) : Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Začlenění simulovaných událostí do trénování reakce na incidenty | CMA_C1356 – Začlenění simulovaných událostí do trénování reakce na incidenty | Ručně, zakázáno | 1.1.0 |
Automatizovaná trénovací prostředí
ID: Vlastnictví FedRAMP High IR-2 (2): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Využití automatizovaného trénovacího prostředí | CMA_C1357 – Využití automatizovaného trénovacího prostředí | Ručně, zakázáno | 1.1.0 |
Testování reakcí na incidenty
ID: Vlastnictví FedRAMP High IR-3: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Testování reakce na incidenty | CMA_0060 – Provedení testování reakcí na incidenty | Ručně, zakázáno | 1.1.0 |
| Vytvoření programu zabezpečení informací | CMA_0263 – Vytvoření programu zabezpečení informací | Ručně, zakázáno | 1.1.0 |
| Spuštění útoků simulace | CMA_0486 – Spuštění útoků simulace | Ručně, zakázáno | 1.1.0 |
Koordinace se souvisejícími plány
ID: Vlastnictví FedRAMP High IR-3 (2): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Testování reakce na incidenty | CMA_0060 – Provedení testování reakcí na incidenty | Ručně, zakázáno | 1.1.0 |
| Vytvoření programu zabezpečení informací | CMA_0263 – Vytvoření programu zabezpečení informací | Ručně, zakázáno | 1.1.0 |
| Spuštění útoků simulace | CMA_0486 – Spuštění útoků simulace | Ručně, zakázáno | 1.1.0 |
Zpracování incidentů
ID: FedRAMP High IR-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Posouzení událostí zabezpečení informací | CMA_0013 – Posouzení událostí zabezpečení informací | Ručně, zakázáno | 1.1.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Koordinace plánů nepředvídaných událostí se souvisejícími plány | CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Vývoj bezpečnostních opatření | CMA_0161 – Vývoj bezpečnostních opatření | Ručně, zakázáno | 1.1.0 |
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.2.0 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.1.0 |
| Povolení ochrany sítě | CMA_0238 – Povolení ochrany sítě | Ručně, zakázáno | 1.1.0 |
| Vymýcení kontaminovaných informací | CMA_0253 - Eradikát kontaminovaných informací | Ručně, zakázáno | 1.1.0 |
| Provádění akcí v reakci na přelití informací | CMA_0281 – Provádění akcí v reakci na přelití informací | Ručně, zakázáno | 1.1.0 |
| Implementace zpracování incidentů | CMA_0318 – Implementace zpracování incidentů | Ručně, zakázáno | 1.1.0 |
| Údržba plánu reakce na incidenty | CMA_0352 – Údržba plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
| Zobrazení a prošetření omezených uživatelů | CMA_0545 – Zobrazení a prošetření omezených uživatelů | Ručně, zakázáno | 1.1.0 |
Automatizované procesy zpracování incidentů
ID: Vlastnictví FedRAMP High IR-4 (1): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Povolení ochrany sítě | CMA_0238 – Povolení ochrany sítě | Ručně, zakázáno | 1.1.0 |
| Implementace zpracování incidentů | CMA_0318 – Implementace zpracování incidentů | Ručně, zakázáno | 1.1.0 |
Dynamická rekonfigurace
ID: Vlastnictví FedRAMP High IR-4 (2): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zahrnutí dynamické změny konfigurace prostředků nasazených zákazníkem | CMA_C1364 – Zahrnutí dynamické změny konfigurace prostředků nasazených zákazníkem | Ručně, zakázáno | 1.1.0 |
Kontinuita provozu
ID: Vlastnictví FedRAMP High IR-4 (3): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Identifikace tříd incidentů a provedených akcí | CMA_C1365 – identifikace tříd incidentů a provedených akcí | Ručně, zakázáno | 1.1.0 |
Korelace informací
ID: Vlastnictví FedRAMP High IR-4 (4): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace zpracování incidentů | CMA_0318 – Implementace zpracování incidentů | Ručně, zakázáno | 1.1.0 |
Insider Threats – specifické možnosti
ID: Vlastnictví FedRAMP High IR-4 (6): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace funkce zpracování incidentů | CMA_C1367 – Implementace funkce zpracování incidentů | Ručně, zakázáno | 1.1.0 |
Korelace s externími organizacemi
ID: Vlastnictví FedRAMP High IR-4 (8) : Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Koordinace s externími organizacemi za účelem dosažení perspektivy mezi organizacemi | CMA_C1368 – koordinace s externími organizacemi za účelem dosažení perspektivy mezi organizacemi | Ručně, zakázáno | 1.1.0 |
Monitorování incidentů
ID: FedRAMP High IR-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.2.0 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.1.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Automatizované generování sestav
ID: Vlastnictví FedRAMP High IR-6 (1) : Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentovat operace zabezpečení | CMA_0202 – Zdokumentovat operace zabezpečení | Ručně, zakázáno | 1.1.0 |
Pomoc s reakcí na incidenty
ID: FedRAMP High IR-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentovat operace zabezpečení | CMA_0202 – Zdokumentovat operace zabezpečení | Ručně, zakázáno | 1.1.0 |
Podpora automatizace pro dostupnost informací / podpora
ID: Vlastnictví FedRAMP High IR-7 (1): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Povolení ochrany sítě | CMA_0238 – Povolení ochrany sítě | Ručně, zakázáno | 1.1.0 |
| Vymýcení kontaminovaných informací | CMA_0253 - Eradikát kontaminovaných informací | Ručně, zakázáno | 1.1.0 |
| Provádění akcí v reakci na přelití informací | CMA_0281 – Provádění akcí v reakci na přelití informací | Ručně, zakázáno | 1.1.0 |
| Implementace zpracování incidentů | CMA_0318 – Implementace zpracování incidentů | Ručně, zakázáno | 1.1.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Zobrazení a prošetření omezených uživatelů | CMA_0545 – Zobrazení a prošetření omezených uživatelů | Ručně, zakázáno | 1.1.0 |
Koordinace s externími poskytovateli
ID: Vlastnictví FedRAMP High IR-7 (2): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Navázání vztahu mezi schopnostmi reakce na incidenty a externími poskytovateli | CMA_C1376 – Navázání vztahu mezi schopnostmi reakce na incidenty a externími poskytovateli | Ručně, zakázáno | 1.1.0 |
| Identifikace pracovníků reakce na incidenty | CMA_0301 – Identifikace pracovníků reakce na incidenty | Ručně, zakázáno | 1.1.0 |
Plán reakcí na incidenty
ID: FedRAMP High IR-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Posouzení událostí zabezpečení informací | CMA_0013 – Posouzení událostí zabezpečení informací | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Implementace zpracování incidentů | CMA_0318 – Implementace zpracování incidentů | Ručně, zakázáno | 1.1.0 |
| Udržování záznamů o porušení zabezpečení dat | CMA_0351 – Udržování záznamů o porušení zabezpečení dat | Ručně, zakázáno | 1.1.0 |
| Údržba plánu reakce na incidenty | CMA_0352 – Údržba plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Ochrana plánu reakce na incidenty | CMA_0405 – Ochrana plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
Odpověď na přelití informací
ID: FedRAMP High IR-9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pracovníci upozornění na přelití informací | CMA_0007 – pracovníci upozornění na únik informací | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Vymýcení kontaminovaných informací | CMA_0253 - Eradikát kontaminovaných informací | Ručně, zakázáno | 1.1.0 |
| Provádění akcí v reakci na přelití informací | CMA_0281 – Provádění akcí v reakci na přelití informací | Ručně, zakázáno | 1.1.0 |
| Identifikace kontaminovaných systémů a součástí | CMA_0300 – identifikace kontaminovaných systémů a součástí | Ručně, zakázáno | 1.1.0 |
| Identifikace přelitých informací | CMA_0303 – Identifikace přelitých informací | Ručně, zakázáno | 1.1.0 |
| Izolace přelití informací | CMA_0346 – izolace přelití informací | Ručně, zakázáno | 1.1.0 |
Zodpovědní pracovníci
ID: Vlastnictví FedRAMP High IR-9 (1): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Identifikace pracovníků reakce na incidenty | CMA_0301 – Identifikace pracovníků reakce na incidenty | Ručně, zakázáno | 1.1.0 |
Školení
ID: Vlastnictví FedRAMP High IR-9 (2): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Poskytnutí školení k přelití informací | CMA_0413 – poskytnutí školení k přelití informací | Ručně, zakázáno | 1.1.0 |
Operace po rozlití
ID: Vlastnictví FedRAMP High IR-9 (3): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj postupů reakce na přelití | CMA_0162 – Vývoj postupů reakce na přelití | Ručně, zakázáno | 1.1.0 |
Vystavení neoprávněným pracovníkům
ID: Vlastnictví FedRAMP High IR-9 (4): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj bezpečnostních opatření | CMA_0161 – Vývoj bezpečnostních opatření | Ručně, zakázáno | 1.1.0 |
Údržba
Zásady a postupy údržby systému
ID: FedRAMP High MA-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace zásad a postupů údržby systému | CMA_C1395 – Kontrola a aktualizace zásad a postupů údržby systému | Ručně, zakázáno | 1.1.0 |
Řízená údržba
ID: FedRAMP High MA-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení aktivit údržby a oprav | CMA_0080 - Řízení činností údržby a oprav | Ručně, zakázáno | 1.1.0 |
| Použití mechanismu sanitizace médií | CMA_0208 – použití mechanismu sanitizace médií | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Správa nelokálních aktivit údržby a diagnostiky | CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky | Ručně, zakázáno | 1.1.0 |
Automatizované aktivity údržby
ID: Vlastnictví FedRAMP High MA-2 (2): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Automatizace aktivit vzdálené údržby | CMA_C1402 – Automatizace aktivit vzdálené údržby | Ručně, zakázáno | 1.1.0 |
| Vytváření kompletních záznamů aktivit vzdálené údržby | CMA_C1403 – Vytváření kompletních záznamů o aktivitách vzdálené údržby | Ručně, zakázáno | 1.1.0 |
Nástroje údržby
ID: FedRAMP High MA-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení aktivit údržby a oprav | CMA_0080 - Řízení činností údržby a oprav | Ručně, zakázáno | 1.1.0 |
| Správa nelokálních aktivit údržby a diagnostiky | CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky | Ručně, zakázáno | 1.1.0 |
Kontrola nástrojů
ID: FedRAMP High MA-3 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení aktivit údržby a oprav | CMA_0080 - Řízení činností údržby a oprav | Ručně, zakázáno | 1.1.0 |
| Správa nelokálních aktivit údržby a diagnostiky | CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky | Ručně, zakázáno | 1.1.0 |
Kontrola média
ID: Vlastnictví FedRAMP High MA-3 (2): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení aktivit údržby a oprav | CMA_0080 - Řízení činností údržby a oprav | Ručně, zakázáno | 1.1.0 |
| Správa nelokálních aktivit údržby a diagnostiky | CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky | Ručně, zakázáno | 1.1.0 |
Zabránit neoprávněnému odebrání
ID: FedRAMP High MA-3 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení aktivit údržby a oprav | CMA_0080 - Řízení činností údržby a oprav | Ručně, zakázáno | 1.1.0 |
| Použití mechanismu sanitizace médií | CMA_0208 – použití mechanismu sanitizace médií | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Správa nelokálních aktivit údržby a diagnostiky | CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky | Ručně, zakázáno | 1.1.0 |
Nelokální údržba
ID: FedRAMP High MA-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Správa nelokálních aktivit údržby a diagnostiky | CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky | Ručně, zakázáno | 1.1.0 |
Document Nonlocal Maintenance
ID: Vlastnictví FedRAMP High MA-4 (2): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Správa nelokálních aktivit údržby a diagnostiky | CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky | Ručně, zakázáno | 1.1.0 |
Srovnatelné zabezpečení / sanitizace
ID: FedRAMP High MA-4 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Provést veškerou nelokanou údržbu | CMA_C1417 – proveďte veškerou údržbu mimo místní | Ručně, zakázáno | 1.1.0 |
Kryptografická ochrana
ID: FedRAMP High MA-4 (6) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace kryptografických mechanismů | CMA_C1419 – Implementace kryptografických mechanismů | Ručně, zakázáno | 1.1.0 |
Pracovníci údržby
ID: FedRAMP High MA-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Určení pracovníků pro dohled nad neautorizovanými aktivitami údržby | CMA_C1422 – Určete pracovníky, kteří budou dohlížet na neautorizované činnosti údržby. | Ručně, zakázáno | 1.1.0 |
| Údržba seznamu autorizovaných pracovníků vzdálené údržby | CMA_C1420 – Údržba seznamu autorizovaných pracovníků vzdálené údržby | Ručně, zakázáno | 1.1.0 |
| Správa pracovníků údržby | CMA_C1421 – Správa pracovníků údržby | Ručně, zakázáno | 1.1.0 |
Jednotlivci bez odpovídajícího přístupu
ID: FedRAMP High MA-5 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití mechanismu sanitizace médií | CMA_0208 – použití mechanismu sanitizace médií | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
Včasná údržba
ID: FedRAMP High MA-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zajištění včasné podpory údržby | CMA_C1425 – poskytování včasné podpory údržby | Ručně, zakázáno | 1.1.0 |
Ochrana médií
Zásady a postupy ochrany médií
ID: FedRAMP High MP-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace zásad a postupů ochrany médií | CMA_C1427 – Kontrola a aktualizace zásad a postupů ochrany médií | Ručně, zakázáno | 1.1.0 |
Přístup k médiím
ID: FedRAMP High MP-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
Označení médií
ID: FedRAMP High MP-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
Media Storage
ID: FedRAMP High MP-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití mechanismu sanitizace médií | CMA_0208 – použití mechanismu sanitizace médií | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
Přenos médií
ID: FedRAMP High MP-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Správa přepravy aktiv | CMA_0370 – správa přepravy aktiv | Ručně, zakázáno | 1.1.0 |
Kryptografická ochrana
ID: FedRAMP High MP-5 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Správa přepravy aktiv | CMA_0370 – správa přepravy aktiv | Ručně, zakázáno | 1.1.0 |
Sanitizace médií
ID: FedRAMP High MP-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití mechanismu sanitizace médií | CMA_0208 – použití mechanismu sanitizace médií | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
Kontrola, schválení, sledování, dokument / ověření
ID: FedRAMP High MP-6 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití mechanismu sanitizace médií | CMA_0208 – použití mechanismu sanitizace médií | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
Testování vybavení
ID: FedRAMP High MP-6 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití mechanismu sanitizace médií | CMA_0208 – použití mechanismu sanitizace médií | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
Použití médií
ID: FedRAMP High MP-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Řízení používání přenosných úložných zařízení | CMA_0083 – řízení používání přenosných úložných zařízení | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Omezení používání médií | CMA_0450 – Omezení používání médií | Ručně, zakázáno | 1.1.0 |
Zakázat použití bez vlastníka
ID: FedRAMP High MP-7 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Řízení používání přenosných úložných zařízení | CMA_0083 – řízení používání přenosných úložných zařízení | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Omezení používání médií | CMA_0450 – Omezení používání médií | Ručně, zakázáno | 1.1.0 |
Fyzická ochrana a ochrana životního prostředí
Zásady a postupy ochrany životního prostředí a fyzické ochrany životního prostředí
ID: FedRAMP High PE-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace fyzických a environmentálních politik a postupů | CMA_C1446 – kontrola a aktualizace fyzických a environmentálních politik a postupů | Ručně, zakázáno | 1.1.0 |
Autorizace fyzického přístupu
ID: FedRAMP High PE-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
Fyzické řízení přístupu
ID: FedRAMP High PE-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
| Definování procesu správy fyzických klíčů | CMA_0115 – Definování procesu správy fyzických klíčů | Ručně, zakázáno | 1.1.0 |
| Vytvoření a údržba inventáře aktiv | CMA_0266 – Vytvoření a údržba inventáře prostředků | Ručně, zakázáno | 1.1.0 |
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
Řízení přístupu pro přenosové médium
ID: FedRAMP High PE-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
Řízení přístupu pro výstupní zařízení
ID: FedRAMP High PE-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
| Správa vstupu, výstupu, zpracování a ukládání dat | CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat | Ručně, zakázáno | 1.1.0 |
Vniknutí alarmů / sledovací zařízení
ID: FedRAMP High PE-6 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Instalace alarmového systému | CMA_0338 – Instalace alarmového systému | Ručně, zakázáno | 1.1.0 |
| Správa zabezpečeného systému kamerového dohledu | CMA_0354 – Správa zabezpečeného systému kamer s dohledem | Ručně, zakázáno | 1.1.0 |
Záznamy o přístupu návštěvníka
ID: FedRAMP High PE-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
Nouzové osvětlení
ID: FedRAMP High PE-12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití automatického nouzového osvětlení | CMA_0209 – použití automatického nouzového osvětlení | Ručně, zakázáno | 1.1.0 |
Ochrana proti požáru
ID: FedRAMP High PE-13 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
Zařízení detekce / systémy
ID: FedRAMP High PE-13 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace metodologie penetračního testování | CMA_0306 – implementace metodologie penetračního testování | Ručně, zakázáno | 1.1.0 |
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
| Spuštění útoků simulace | CMA_0486 – Spuštění útoků simulace | Ručně, zakázáno | 1.1.0 |
Zařízení potlačení / systémy
ID: FedRAMP High PE-13 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
Automatické potlačení požáru
ID: FedRAMP High PE-13 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
Ovládací prvky teploty a vlhkosti
ID: FedRAMP High PE-14 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
Monitorování pomocí alarmů / oznámení
ID: FedRAMP High PE-14 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
| Instalace alarmového systému | CMA_0338 – Instalace alarmového systému | Ručně, zakázáno | 1.1.0 |
Ochrana proti poškození vody
ID: FedRAMP High PE-15 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
Doručení a odebrání
ID: FedRAMP High PE-16 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování požadavků pro správu prostředků | CMA_0125 – Definování požadavků pro správu prostředků | Ručně, zakázáno | 1.1.0 |
| Správa přepravy aktiv | CMA_0370 – správa přepravy aktiv | Ručně, zakázáno | 1.1.0 |
Alternativní pracovní web
ID: FedRAMP High PE-17 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | Ručně, zakázáno | 1.1.0 |
Umístění komponent informačního systému
ID: FedRAMP High PE-18 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
Plánování
Zásady a postupy plánování zabezpečení
ID: FedRAMP High PL-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace zásad a postupů plánování | CMA_C1491 – Kontrola a aktualizace zásad a postupů plánování | Ručně, zakázáno | 1.1.0 |
Plán zabezpečení systému
ID: FedRAMP High PL-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj a vytvoření plánu zabezpečení systému | CMA_0151 – Vývoj a vytvoření plánu zabezpečení systému | Ručně, zakázáno | 1.1.0 |
| Vývoj zásad a postupů zabezpečení informací | CMA_0158 – Vývoj zásad a postupů zabezpečení informací | Ručně, zakázáno | 1.1.0 |
| Vývoj ZSP, který splňuje kritéria | CMA_C1492 – Vývoj ZSP, který splňuje kritéria | Ručně, zakázáno | 1.1.0 |
| Vytvoření programu ochrany osobních údajů | CMA_0257 – Vytvoření programu ochrany osobních údajů | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na zabezpečení pro výrobu připojených zařízení | CMA_0279 – Stanovení požadavků na zabezpečení pro výrobu připojených zařízení | Ručně, zakázáno | 1.1.0 |
| Implementace principů přípravy zabezpečení informačních systémů | CMA_0325 – Implementace principů bezpečnostního inženýrství informačních systémů | Ručně, zakázáno | 1.1.0 |
Plánování a koordinace s jinými organizačními entitami
ID: FedRAMP High PL-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj a vytvoření plánu zabezpečení systému | CMA_0151 – Vývoj a vytvoření plánu zabezpečení systému | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na zabezpečení pro výrobu připojených zařízení | CMA_0279 – Stanovení požadavků na zabezpečení pro výrobu připojených zařízení | Ručně, zakázáno | 1.1.0 |
| Implementace principů přípravy zabezpečení informačních systémů | CMA_0325 – Implementace principů bezpečnostního inženýrství informačních systémů | Ručně, zakázáno | 1.1.0 |
Pravidla chování
ID: FedRAMP High PL-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj přijatelných zásad a postupů použití | CMA_0143 – Vývoj přijatelných zásad a postupů použití | Ručně, zakázáno | 1.1.0 |
| Vývoj zásad chování organizace | CMA_0159 – Vývoj zásad chování organizace | Ručně, zakázáno | 1.1.0 |
| Zdokumentování přijetí požadavků na ochranu osobních údajů | CMA_0193 – zdokumentování přijetí požadavků na ochranu osobních údajů pracovníky | Ručně, zakázáno | 1.1.0 |
| Vynucení pravidel chování a smluv o přístupu | CMA_0248 – vynucování pravidel chování a smluv o přístupu | Ručně, zakázáno | 1.1.0 |
| Zakázat nespravedlivé praktiky | CMA_0396 – Zákaz nespravedlivých praktik | Ručně, zakázáno | 1.1.0 |
| Kontrola a podepsání revidovaných pravidel chování | CMA_0465 – Kontrola a podepsání revidovaných pravidel chování | Ručně, zakázáno | 1.1.0 |
| Aktualizace zásad zabezpečení informací | CMA_0518 – aktualizace zásad zabezpečení informací | Ručně, zakázáno | 1.1.0 |
| Aktualizace pravidel chování a přístupových smluv | CMA_0521 – aktualizace pravidel chování a smluv o přístupu | Ručně, zakázáno | 1.1.0 |
| Aktualizace pravidel chování a přístupových smluv každých 3 roky | CMA_0522 – aktualizace pravidel chování a přístupových smluv každých 3 roky | Ručně, zakázáno | 1.1.0 |
Omezení sociálních médií a sítí
ID: FedRAMP High PL-4 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj přijatelných zásad a postupů použití | CMA_0143 – Vývoj přijatelných zásad a postupů použití | Ručně, zakázáno | 1.1.0 |
Architektura zabezpečení informací
ID: FedRAMP High PL-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj konceptu operací (CONOPS) | CMA_0141 – vývoj konceptu operací (CONOPS) | Ručně, zakázáno | 1.1.0 |
| Kontrola a aktualizace architektury zabezpečení informací | CMA_C1504 – Kontrola a aktualizace architektury zabezpečení informací | Ručně, zakázáno | 1.1.0 |
Zabezpečení personálu
Zásady a postupy zabezpečení pracovníků
ID: FedRAMP High PS-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace zásad a postupů zabezpečení pracovníků | CMA_C1507 – Kontrola a aktualizace zásad a postupů zabezpečení pracovníků | Ručně, zakázáno | 1.1.0 |
Označení rizika pozice
ID: FedRAMP High PS-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přiřazení označení rizik | CMA_0016 – přiřazení označení rizik | Ručně, zakázáno | 1.1.0 |
Screening personálu
ID: FedRAMP High PS-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vymazat pracovníky s přístupem k klasifikovaným informacím | CMA_0054 – Vymazat pracovníky s přístupem k klasifikovaným informacím | Ručně, zakázáno | 1.1.0 |
| Implementace kontroly pracovníků | CMA_0322 – implementace kontroly pracovníků | Ručně, zakázáno | 1.1.0 |
| Opakované zobrazení jednotlivců s definovanou frekvencí | CMA_C1512 – přeobrazovek jednotlivců s definovanou frekvencí | Ručně, zakázáno | 1.1.0 |
Informace se zvláštními ochrannými opatřeními
ID: FedRAMP High PS-3 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ochrana speciálních informací | CMA_0409 – Ochrana speciálních informací | Ručně, zakázáno | 1.1.0 |
Ukončení personálního oddělení
ID: FedRAMP High PS-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Provedení závěrečného pohovoru po ukončení | CMA_0058 - Provedení závěrečného pohovoru po ukončení | Ručně, zakázáno | 1.1.0 |
| Zakázání ověřovacích modulů po ukončení | CMA_0169 – Zakázání ověřovacích modulů po ukončení | Ručně, zakázáno | 1.1.0 |
| Upozorňovat na ukončení nebo převod | CMA_0381 – oznámení při ukončení nebo převodu | Ručně, zakázáno | 1.1.0 |
| Ochrana před krádeží dat a zabránění úniku dat odcházejícím zaměstnancům | CMA_0398 – Ochrana před krádeží dat a zabránění úniku dat odcházejícím zaměstnancům | Ručně, zakázáno | 1.1.0 |
| Zachování ukončených uživatelských dat | CMA_0455 – Zachování ukončených uživatelských dat | Ručně, zakázáno | 1.1.0 |
Automatizované oznámení
ID: FedRAMP High PS-4 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Automatizace oznámení o ukončení zaměstnance | CMA_C1521 – Automatizace oznámení o ukončení zaměstnance | Ručně, zakázáno | 1.1.0 |
Transfer personálu
ID: FedRAMP High PS-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zahájení akcí převodu nebo opětovného přiřazení | CMA_0333 – Zahájení akcí převodu nebo opětovného přiřazení | Ručně, zakázáno | 1.1.0 |
| Úprava autorizace přístupu při převodu personálu | CMA_0374 – Úprava autorizace přístupu při převodu personálu | Ručně, zakázáno | 1.1.0 |
| Upozorňovat na ukončení nebo převod | CMA_0381 – oznámení při ukončení nebo převodu | Ručně, zakázáno | 1.1.0 |
| Opětovné hodnocení přístupu při převodu personálu | CMA_0424 - Opětovné hodnocení přístupu při převodu personálu | Ručně, zakázáno | 1.1.0 |
Přístupové smlouvy
ID: FedRAMP High PS-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentovat smlouvy o přístupu organizace | CMA_0192 – Zdokumentovat smlouvy o přístupu organizace | Ručně, zakázáno | 1.1.0 |
| Vynucení pravidel chování a smluv o přístupu | CMA_0248 – vynucování pravidel chování a smluv o přístupu | Ručně, zakázáno | 1.1.0 |
| Ujistěte se, že jsou smlouvy o přístupu podepsány nebo odstoupit včas. | CMA_C1528 – zajištění, že jsou smlouvy o přístupu podepsány nebo odstoupit včas | Ručně, zakázáno | 1.1.0 |
| Vyžadovat, aby uživatelé podepsali přístupové smlouvy. | CMA_0440 – Vyžadovat, aby uživatelé podepsali přístupovou smlouvu | Ručně, zakázáno | 1.1.0 |
| Aktualizace smluv o přístupu organizace | CMA_0520 – Aktualizace smluv o přístupu organizace | Ručně, zakázáno | 1.1.0 |
Zabezpečení pracovníků třetích stran
ID: FedRAMP High PS-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentovat požadavky na zabezpečení pracovníků třetích stran | CMA_C1531 – Zdokumentovat požadavky na zabezpečení pracovníků třetích stran | Ručně, zakázáno | 1.1.0 |
| Vytvoření požadavků na zabezpečení pracovníků třetích stran | CMA_C1529 – Vytvoření požadavků na zabezpečení pracovníků třetích stran | Ručně, zakázáno | 1.1.0 |
| Monitorování dodržování předpisů poskytovatele třetích stran | CMA_C1533 – Monitorování dodržování předpisů poskytovatelů třetích stran | Ručně, zakázáno | 1.1.0 |
| Vyžadování oznámení o převodu nebo ukončení pracovníka třetí strany | CMA_C1532 – Vyžadování oznámení o převodu nebo ukončení pracovníka třetí strany | Ručně, zakázáno | 1.1.0 |
| Vyžadovat, aby poskytovatelé třetích stran dodržovali zásady a postupy zabezpečení pracovníků. | CMA_C1530 – Vyžadovat, aby poskytovatelé třetích stran dodržovali zásady a postupy zabezpečení pracovníků | Ručně, zakázáno | 1.1.0 |
Schválení personálu
ID: FedRAMP High PS-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace formálního procesu sankcí | CMA_0317 – implementace formálního procesu sankcí | Ručně, zakázáno | 1.1.0 |
| Upozornit pracovníky na sankce | CMA_0380 – upozornit pracovníky na sankce | Ručně, zakázáno | 1.1.0 |
Hodnocení rizika
Zásady a postupy posouzení rizik
ID: Vlastnictví FedRAMP High RA-1: Shared
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace zásad a postupů posouzení rizik | CMA_C1537 – Kontrola a aktualizace zásad a postupů posouzení rizik | Ručně, zakázáno | 1.1.0 |
Kategorizace zabezpečení
ID: Vlastnictví FedRAMP High RA-2: Shared
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kategorizace informací | CMA_0052 – kategorizace informací | Ručně, zakázáno | 1.1.0 |
| Vývoj schémat obchodní klasifikace | CMA_0155 – vývoj schémat obchodní klasifikace | Ručně, zakázáno | 1.1.0 |
| Ujistěte se, že je schválená kategorizace zabezpečení. | CMA_C1540 – Ujistěte se, že je schválená kategorizace zabezpečení. | Ručně, zakázáno | 1.1.0 |
| Kontrola aktivity a analýzy popisků | CMA_0474 – Kontrola aktivit a analýz popisků | Ručně, zakázáno | 1.1.0 |
Hodnocení rizika
ID: FedRAMP High RA-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Posouzení rizik | CMA_C1543 – Posouzení rizik | Ručně, zakázáno | 1.1.0 |
| Posouzení rizik a distribuce výsledků | CMA_C1544 – Posouzení rizik a distribuce výsledků | Ručně, zakázáno | 1.1.0 |
| Posouzení rizik a zdokumentování výsledků | CMA_C1542 – Posouzení rizik a zdokumentování výsledků | Ručně, zakázáno | 1.1.0 |
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
Kontrola ohrožení zabezpečení
ID: FedRAMP High RA-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
| Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích | Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
| Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
| Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
| V pracovních prostorech Synapse by se mělo povolit posouzení ohrožení zabezpečení. | Zjišťování, sledování a náprava potenciálních ohrožení zabezpečení konfigurací opakovaných kontrol posouzení ohrožení zabezpečení SQL v pracovních prostorech Synapse | AuditIfNotExists, zakázáno | 1.0.0 |
Funkce nástroje pro aktualizaci
ID: FedRAMP High RA-5 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
Aktualizace podle frekvence / před novou kontrolou / při zjištění
ID: Vlastnictví FedRAMP High RA-5 (2): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
Šířka / hloubka pokrytí
ID: Vlastnictví FedRAMP High RA-5 (3): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
Zjistitelné informace
ID: Vlastnictví FedRAMP High RA-5 (4): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Provedení akce v reakci na informace o zákazníci | CMA_C1554 – provedení akce v reakci na informace o zákazníci | Ručně, zakázáno | 1.1.0 |
Privilegovaný přístup
ID: Vlastnictví FedRAMP High RA-5 (5): Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace privilegovaného přístupu pro provádění aktivit kontroly ohrožení zabezpečení | CMA_C1555 – Implementace privilegovaného přístupu pro provádění aktivit kontroly ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
Automatizované analýzy trendu
ID: Vlastnictví FedRAMP High RA-5 (6) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Sledování a hlášení slabých míst zabezpečení | CMA_0384 – sledování a hlášení slabých stránek zabezpečení | Ručně, zakázáno | 1.1.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Modelování hrozeb | CMA_0392 – modelování hrozeb | Ručně, zakázáno | 1.1.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
Kontrola historických protokolů auditu
ID: Vlastnictví FedRAMP High RA-5 (8) : Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Korelace záznamů auditu | CMA_0087 – Korelace záznamů auditu | Ručně, zakázáno | 1.1.0 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na kontrolu auditu a vytváření sestav | CMA_0277 – Vytvoření požadavků na kontrolu auditu a vytváření sestav | Ručně, zakázáno | 1.1.0 |
| Integrace kontroly auditu, analýzy a generování sestav | CMA_0339 – Integrace kontroly auditu, analýzy a generování sestav | Ručně, zakázáno | 1.1.0 |
| Integrace zabezpečení cloudových aplikací se siem | CMA_0340 – Integrace zabezpečení cloudových aplikací se siem | Ručně, zakázáno | 1.1.0 |
| Kontrola protokolů zřizování účtů | CMA_0460 – Kontrola protokolů zřizování účtů | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola přiřazení správců | CMA_0461 – týdenní kontrola přiřazení správců | Ručně, zakázáno | 1.1.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
| Přehled sestavy cloudových identit | CMA_0468 – Přehled sestav cloudových identit | Ručně, zakázáno | 1.1.0 |
| Kontrola událostí přístupu k řízeným složkům | CMA_0471 – Kontrola kontrolovaných událostí přístupu ke složce | Ručně, zakázáno | 1.1.0 |
| Kontrola událostí ochrany zneužití | CMA_0472 – Kontrola událostí ochrany zneužití | Ručně, zakázáno | 1.1.0 |
| Kontrola aktivity souborů a složek | CMA_0473 – Kontrola aktivity souborů a složek | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola změn skupin rolí | CMA_0476 – týdenní kontrola změn skupin rolí | Ručně, zakázáno | 1.1.0 |
Korelace informací o kontrole
ID: Vlastnictví FedRAMP High RA-5 (10) : Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Korelace informací o kontrole ohrožení zabezpečení | CMA_C1558 – Korelace informací o kontrole ohrožení zabezpečení | Ručně, zakázáno | 1.1.1 |
Získání systémů a služeb
Zásady a postupy získávání systémů a služeb
ID: FedRAMP High SA-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace zásad a postupů získávání systémů a služeb | CMA_C1560 – Kontrola a aktualizace zásad a postupů získávání systémů a služeb | Ručně, zakázáno | 1.1.0 |
Přidělení prostředků
ID: FedRAMP High SA-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Sladění obchodních cílů a cílů IT | CMA_0008 – sladění obchodních cílů a cílů IT | Ručně, zakázáno | 1.1.0 |
| Přidělení prostředků při určování požadavků na informační systém | CMA_C1561 – Přidělení prostředků při určování požadavků na informační systém | Ručně, zakázáno | 1.1.0 |
| Vytvoření samostatné řádkové položky v dokumentaci k rozpočtování | CMA_C1563 – Vytvoření samostatné řádkové položky v dokumentaci k rozpočtování | Ručně, zakázáno | 1.1.0 |
| Vytvoření programu ochrany osobních údajů | CMA_0257 – Vytvoření programu ochrany osobních údajů | Ručně, zakázáno | 1.1.0 |
| Řízení přidělování prostředků | CMA_0293 – řízení přidělování prostředků | Ručně, zakázáno | 1.1.0 |
| Zabezpečení závazku od vedení | CMA_0489 – zabezpečený závazek od vedení | Ručně, zakázáno | 1.1.0 |
Životní cyklus vývoje systému
ID: FedRAMP High SA-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování rolí zabezpečení informací a zodpovědností | CMA_C1565 – Definování rolí zabezpečení informací a odpovědností | Ručně, zakázáno | 1.1.0 |
| Identifikace jednotlivců s rolemi zabezpečení a zodpovědnostmi | CMA_C1566 – Identifikace jednotlivců s rolemi zabezpečení a zodpovědnostmi | Ručně, zakázáno | 1.1.1 |
| Integrace procesu řízení rizik do SDLC | CMA_C1567 – Integrace procesu řízení rizik do SDLC | Ručně, zakázáno | 1.1.0 |
Proces získání
ID: FedRAMP High SA-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Určení závazků dodavatelů | CMA_0140 – Určení závazků dodavatelů | Ručně, zakázáno | 1.1.0 |
| Kritéria přijetí smlouvy o pořízení dokumentu | CMA_0187 – Kritéria přijetí smlouvy o pořízení dokumentu | Ručně, zakázáno | 1.1.0 |
| Ochrana osobních údajů v kupních smlouvách | CMA_0194 - Ochrana osobních údajů v kupních smlouvách | Ručně, zakázáno | 1.1.0 |
| Ochrana informací o zabezpečení ve smlouvách o pořízení | CMA_0195 – ochrana bezpečnostních údajů v kupních smlouvách | Ručně, zakázáno | 1.1.0 |
| Požadavky na dokument pro použití sdílených dat v kontraktech | CMA_0197 – požadavky na dokument pro použití sdílených dat ve smlouvách | Ručně, zakázáno | 1.1.0 |
| Zdokumentování požadavků na záruku zabezpečení v kupních smlouvách | CMA_0199 – Zdokumentování požadavků na záruku zabezpečení v rámci kupních smluv | Ručně, zakázáno | 1.1.0 |
| Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání | CMA_0200 – Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání | Ručně, zakázáno | 1.1.0 |
| Zdokumentování funkčních požadavků na zabezpečení ve smlouvách o získání | CMA_0201 – Zdokumentování požadavků na funkčnost zabezpečení ve smlouvách o získání | Ručně, zakázáno | 1.1.0 |
| Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách | CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv | Ručně, zakázáno | 1.1.0 |
| Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích. | CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení | Ručně, zakázáno | 1.1.0 |
| Zdokumentujte ochranu údajů o držitelích karet ve smlouvách třetích stran. | CMA_0207 - Zdokumentujte ochranu údajů držitelů karet ve smlouvách třetích stran. | Ručně, zakázáno | 1.1.0 |
Funkční vlastnosti ovládacích prvků zabezpečení
ID: FedRAMP High SA-4 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Získání funkčních vlastností ovládacích prvků zabezpečení | CMA_C1575 – získání funkčních vlastností kontrolních mechanismů zabezpečení | Ručně, zakázáno | 1.1.0 |
Informace o návrhu a implementaci ovládacích prvků zabezpečení
ID: FedRAMP High SA-4 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Získání informací o návrhu a implementaci pro bezpečnostní prvky | CMA_C1576 – Získání informací o návrhu a implementaci bezpečnostních prvků | Ručně, zakázáno | 1.1.1 |
Plán průběžného monitorování
ID: FedRAMP High SA-4 (8) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Získání plánu průběžného monitorování pro bezpečnostní prvky | CMA_C1577 – Získání plánu průběžného monitorování pro kontrolní mechanismy zabezpečení | Ručně, zakázáno | 1.1.0 |
Funkce / Porty / Protokoly / Používané služby
ID: FedRAMP High SA-4 (9) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vyžadování vývojáře k identifikaci portů, protokolů a služeb SDLC | CMA_C1578 – Vyžaduje vývojáře, aby identifikoval porty, protokoly a služby SDLC. | Ručně, zakázáno | 1.1.0 |
Použití schválených pivních výrobků
ID: FedRAMP High SA-4 (10) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Využití technologie schválené fiPS 201 pro PIV | CMA_C1579 – zaměstnat technologii schválenou FIPS 201 pro PIV | Ručně, zakázáno | 1.1.0 |
Dokumentace k informačnímu systému
ID: FedRAMP High SA-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Distribuce dokumentace k informačnímu systému | CMA_C1584 – Distribuce dokumentace k informačnímu systému | Ručně, zakázáno | 1.1.0 |
| Zdokumentovat akce definované zákazníkem | CMA_C1582 – Zdokumentovat akce definované zákazníkem | Ručně, zakázáno | 1.1.0 |
| Získání dokumentace pro správce | CMA_C1580 – Získání dokumentace pro správce | Ručně, zakázáno | 1.1.0 |
| Získání dokumentace k funkcím zabezpečení uživatele | CMA_C1581 – Získání dokumentace k funkcím zabezpečení uživatele | Ručně, zakázáno | 1.1.0 |
| Ochrana dokumentace pro správce a uživatele | CMA_C1583 – Ochrana dokumentace pro správce a uživatele | Ručně, zakázáno | 1.1.0 |
Služby externího informačního systému
ID: FedRAMP High SA-9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování a zdokumentujte dohled nad státní správou | CMA_C1587 – Definování a dokument vládní dohled | Ručně, zakázáno | 1.1.0 |
| Vyžadovat, aby externí poskytovatelé služeb splňovali požadavky na zabezpečení | CMA_C1586 – Vyžadovat, aby externí poskytovatelé služeb splňovali požadavky na zabezpečení | Ručně, zakázáno | 1.1.0 |
| Kontrola dodržování zásad a smluv poskytovatele cloudových služeb | CMA_0469 – Kontrola dodržování zásad a smluv poskytovatele cloudových služeb | Ručně, zakázáno | 1.1.0 |
| Projít nezávislou kontrolou zabezpečení | CMA_0515 – Projděte si nezávislou kontrolu zabezpečení | Ručně, zakázáno | 1.1.0 |
Posouzení rizik / Schválení organizace
ID: FedRAMP High SA-9 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Posouzení rizika v relacích třetích stran | CMA_0014 – Posouzení rizika v relacích třetích stran | Ručně, zakázáno | 1.1.0 |
| Získání schválení pro akvizice a outsourcing | CMA_C1590 – získání schválení pro akvizice a outsourcing | Ručně, zakázáno | 1.1.0 |
Identifikace funkcí / portů / protokolů / služeb
ID: FedRAMP High SA-9 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Identifikace externích poskytovatelů služeb | CMA_C1591 – Identifikace externích poskytovatelů služeb | Ručně, zakázáno | 1.1.0 |
Konzistentní zájmy spotřebitelů a poskytovatelů
ID: FedRAMP High SA-9 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zajištění konzistentního splnění zájmů zákazníků externími poskytovateli | CMA_C1592 – zajištění konzistentního splnění zájmů zákazníků externími poskytovateli | Ručně, zakázáno | 1.1.0 |
Zpracování, úložiště a umístění služby
ID: FedRAMP High SA-9 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Omezení umístění zpracování informací, úložiště a služeb | CMA_C1593 – Omezení umístění zpracování informací, úložiště a služeb | Ručně, zakázáno | 1.1.0 |
Správa konfigurací pro vývojáře
ID: FedRAMP High SA-10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řešení ohrožení zabezpečení kódování | CMA_0003 – Řešení ohrožení zabezpečení kódování | Ručně, zakázáno | 1.1.0 |
| Vývoj a zdokumentovat požadavky na zabezpečení aplikací | CMA_0148 – Vývoj a zdokumentovat požadavky na zabezpečení aplikací | Ručně, zakázáno | 1.1.0 |
| Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích. | CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení | Ručně, zakázáno | 1.1.0 |
| Vytvoření zabezpečeného programu pro vývoj softwaru | CMA_0259 – vytvoření zabezpečeného programu pro vývoj softwaru | Ručně, zakázáno | 1.1.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
| Vyžadovat, aby vývojáři dokumentovat schválené změny a potenciální dopad | CMA_C1597 – Vyžadovat, aby vývojáři zdokumentovali schválené změny a potenciální dopad | Ručně, zakázáno | 1.1.0 |
| Vyžadovat, aby vývojáři implementovali jenom schválené změny. | CMA_C1596 – Vyžadovat, aby vývojáři implementovali jenom schválené změny | Ručně, zakázáno | 1.1.0 |
| Vyžadování vývojářů ke správě integrity změn | CMA_C1595 – Vyžadování vývojářů ke správě integrity změn | Ručně, zakázáno | 1.1.0 |
Ověření integrity softwaru a firmwaru
ID: FedRAMP High SA-10 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ověření integrity softwaru, firmwaru a informací | CMA_0542 – Ověření integrity softwaru, firmwaru a informací | Ručně, zakázáno | 1.1.0 |
Testování a vyhodnocení zabezpečení pro vývojáře
ID: FedRAMP High SA-11 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
| Vyžadovat, aby vývojáři vytvořili důkaz o provádění plánu posouzení zabezpečení. | CMA_C1602 – Vyžaduje, aby vývojáři vytvořili důkaz o provádění plánu posouzení zabezpečení. | Ručně, zakázáno | 1.1.0 |
Ochrana dodavatelského řetězce
ID: FedRAMP High SA-12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Posouzení rizika v relacích třetích stran | CMA_0014 – Posouzení rizika v relacích třetích stran | Ručně, zakázáno | 1.1.0 |
| Definování požadavků na dodávky zboží a služeb | CMA_0126 – Definování požadavků na dodávky zboží a služeb | Ručně, zakázáno | 1.1.0 |
| Určení závazků dodavatelů | CMA_0140 – Určení závazků dodavatelů | Ručně, zakázáno | 1.1.0 |
| Stanovení zásad pro řízení rizik dodavatelského řetězce | CMA_0275 – Vytvoření zásad pro řízení rizik dodavatelského řetězce | Ručně, zakázáno | 1.1.0 |
Vývojový proces, standardy a nástroje
ID: FedRAMP High SA-15 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola procesu vývoje, standardů a nástrojů | CMA_C1610 – kontrola procesu vývoje, standardů a nástrojů | Ručně, zakázáno | 1.1.0 |
Školení poskytované vývojářem
ID: FedRAMP High SA-16 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vyžadovat, aby vývojáři poskytovali školení | CMA_C1611 – Vyžadovat, aby vývojáři poskytli školení | Ručně, zakázáno | 1.1.0 |
Architektura a návrh zabezpečení pro vývojáře
ID: FedRAMP High SA-17 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vyžadovat, aby vývojáři vytvořili architekturu zabezpečení | CMA_C1612 – Vyžadovat, aby vývojáři vytvořili architekturu zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vyžadování vývojářů k popisu přesných funkcí zabezpečení | CMA_C1613 – Vyžadovat, aby vývojáři popsali přesné funkce zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vyžadovat, aby vývojáři poskytovali jednotný přístup k ochraně zabezpečení | CMA_C1614 – Vyžadování, aby vývojáři poskytovali jednotný přístup k ochraně zabezpečení | Ručně, zakázáno | 1.1.0 |
Ochrana systému a komunikací
Zásady a postupy ochrany systémů a komunikací
ID: FedRAMP High SC-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace zásad a postupů ochrany systémů a komunikací | CMA_C1616 – Kontrola a aktualizace zásad a postupů ochrany systémů a komunikací | Ručně, zakázáno | 1.1.0 |
Dělení aplikace
ID: FedRAMP High SC-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace vzdáleného přístupu | CMA_0024 – Autorizace vzdáleného přístupu | Ručně, zakázáno | 1.1.0 |
| Samostatné funkce správy uživatelských a informačních systémů | CMA_0493 – Samostatné funkce správy uživatelských a informačních systémů | Ručně, zakázáno | 1.1.0 |
| Použití vyhrazených počítačů pro úlohy správy | CMA_0527 – Použití vyhrazených počítačů pro úlohy správy | Ručně, zakázáno | 1.1.0 |
Izolace funkce zabezpečení
ID: FedRAMP High SC-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 2.0.0 |
Ochrana před odepřením služby
ID: FedRAMP High SC-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure DDoS Protection. | Ochrana před útoky DDoS by měla být povolená pro všechny virtuální sítě s podsítí, která je součástí aplikační brány s veřejnou IP adresou. | AuditIfNotExists, zakázáno | 3.0.1 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Vývoj a zdokumentujte plán reakce DDoS | CMA_0147 – Vývoj a zdokumentujte plán reakce DDoS | Ručně, zakázáno | 1.1.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
Dostupnost prostředku
ID: FedRAMP High SC-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení přidělování prostředků | CMA_0293 – řízení přidělování prostředků | Ručně, zakázáno | 1.1.0 |
| Správa dostupnosti a kapacity | CMA_0356 – Správa dostupnosti a kapacity | Ručně, zakázáno | 1.1.0 |
| Zabezpečení závazku od vedení | CMA_0489 – zabezpečený závazek od vedení | Ručně, zakázáno | 1.1.0 |
Ochrana hranic
ID: FedRAMP High SC-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služby API Management by měly používat virtuální síť. | Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.1 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Rozhraní Azure API for FHIR by mělo používat privátní propojení. | Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. | Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Služba Azure Web PubSub by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, zakázáno | 1.0.0 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Implementace ochrany hranic systému | CMA_0328 – Implementace ochrany hranic systému | Ručně, zakázáno | 1.1.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
Přístupové body
ID: FedRAMP High SC-7 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služby API Management by měly používat virtuální síť. | Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.1 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Rozhraní Azure API for FHIR by mělo používat privátní propojení. | Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. | Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Služba Azure Web PubSub by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, zakázáno | 1.0.0 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
Externí telekomunikační služby
ID: FedRAMP High SC-7 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace spravovaného rozhraní pro každou externí službu | CMA_C1626 – Implementace spravovaného rozhraní pro každou externí službu | Ručně, zakázáno | 1.1.0 |
| Implementace ochrany hranic systému | CMA_0328 – Implementace ochrany hranic systému | Ručně, zakázáno | 1.1.0 |
| Zabezpečení rozhraní s externími systémy | CMA_0491 – Zabezpečení rozhraní s externími systémy | Ručně, zakázáno | 1.1.0 |
Zabránění rozdělení tunelového propojení pro vzdálená zařízení
ID: FedRAMP High SC-7 (7) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zabránění rozdělení tunelového propojení pro vzdálená zařízení | CMA_C1632 – Zabránění rozdělení tunelového propojení pro vzdálená zařízení | Ručně, zakázáno | 1.1.0 |
Směrování provozu na ověřené proxy servery
ID: FedRAMP High SC-7 (8) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Směrování provozu přes ověřenou proxy síť | CMA_C1633 – Směrování provozu přes ověřenou proxy síť | Ručně, zakázáno | 1.1.0 |
Ochrana založená na hostiteli
ID: FedRAMP High SC-7 (12) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace ochrany hranic systému | CMA_0328 – Implementace ochrany hranic systému | Ručně, zakázáno | 1.1.0 |
Izolace nástrojů zabezpečení / mechanismů / podpůrných komponent
ID: FedRAMP High SC-7 (13) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Izolace systémů SecurID, systémů správy incidentů zabezpečení | CMA_C1636 – izolace systémů SecurID, systémů správy incidentů zabezpečení | Ručně, zakázáno | 1.1.0 |
Zabezpečení selhání
ID: FedRAMP High SC-7 (18) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace ochrany hranic systému | CMA_0328 – Implementace ochrany hranic systému | Ručně, zakázáno | 1.1.0 |
| Správa přenosů mezi pohotovostními a aktivními součástmi systému | CMA_0371 – Správa přenosů mezi pohotovostními a aktivními součástmi systému | Ručně, zakázáno | 1.1.0 |
Dynamická izolace / oddělení
ID: FedRAMP High SC-7 (20) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zajištění dynamické izolace prostředků s podporou systému | CMA_C1638 – zajištění dynamické izolace prostředků | Ručně, zakázáno | 1.1.0 |
Izolace komponent informačního systému
ID: FedRAMP High SC-7 (21) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití ochrany hranic k izolaci informačních systémů | CMA_C1639 – použití ochrany hranic k izolaci informačních systémů | Ručně, zakázáno | 1.1.0 |
Důvěrnost a integrita přenosu
ID: FedRAMP High SC-8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace app Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Clustery Azure HDInsight by měly k šifrování komunikace mezi uzly clusteru Azure HDInsight používat šifrování během přenosu. | Během přenosu mezi uzly clusteru Azure HDInsight je možné manipulovat s daty. Povolení šifrování při přenosu řeší problémy se zneužitím a manipulací během tohoto přenosu. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.2.0 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana hesel pomocí šifrování | CMA_0408 – Ochrana hesel pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 4.1.1 |
Kryptografická nebo alternativní fyzická ochrana
ID: FedRAMP High SC-8 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace app Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Clustery Azure HDInsight by měly k šifrování komunikace mezi uzly clusteru Azure HDInsight používat šifrování během přenosu. | Během přenosu mezi uzly clusteru Azure HDInsight je možné manipulovat s daty. Povolení šifrování při přenosu řeší problémy se zneužitím a manipulací během tohoto přenosu. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | Ručně, zakázáno | 1.1.0 |
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.2.0 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 4.1.1 |
Odpojení sítě
ID: FedRAMP High SC-10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Opětovné ověření nebo ukončení uživatelské relace | CMA_0421 – Opětovné ověření nebo ukončení uživatelské relace | Ručně, zakázáno | 1.1.0 |
Vytvoření a správa kryptografických klíčů
ID: FedRAMP High SC-12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Trezory služby Azure Recovery Services by měly pro šifrování zálohovaných dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních zálohovaných dat. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/AB-CmkEncryption. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Data služby zřizování zařízení služby IoT Hub by se měla šifrovat pomocí klíčů spravovaných zákazníkem (CMK) | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části služby IoT Hub device Provisioning. Neaktivní uložená data se automaticky šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Další informace o šifrování CMK najdete na adrese https://aka.ms/dps/CMK. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| Prostředky azure AI Services by měly šifrovat neaktivní uložená data pomocí klíče spravovaného zákazníkem (CMK) | Použití klíčů spravovaných zákazníkem k šifrování neaktivních uložených dat poskytuje větší kontrolu nad životním cyklem klíčů, včetně obměně a správy. To je zvlášť důležité pro organizace, které mají související požadavky na dodržování předpisů. Toto se ve výchozím nastavení neposoudí a mělo by se použít pouze v případě, že je to vyžadováno požadavky na dodržování předpisů nebo omezující zásady. Pokud tato možnost není povolená, budou data šifrovaná pomocí klíčů spravovaných platformou. Pokud chcete tento parametr implementovat, aktualizujte parametr Effect v zásadách zabezpečení pro příslušný obor. | Audit, Odepřít, Zakázáno | 2.2.0 |
| Rozhraní Azure API for FHIR by mělo k šifrování neaktivních uložených dat použít klíč spravovaný zákazníkem. | Klíč spravovaný zákazníkem můžete použít k řízení šifrování neaktivních uložených dat uložených v rozhraní Azure API for FHIR, pokud se jedná o zákonný požadavek nebo požadavek na dodržování předpisů. Klíče spravované zákazníkem také poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí vrstvu provedenou pomocí klíčů spravovaných službou. | audit, Audit, Disabled, Disabled | 1.1.0 |
| Účty Azure Automation by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních účtů Azure Automation použijte klíče spravované zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/automation-cmk. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účet Azure Batch by měl k šifrování dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních uložených dat účtu Batch. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/Batch-CMK. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Skupina kontejnerů služby Azure Container Instance by měla k šifrování používat klíč spravovaný zákazníkem. | Zabezpečte kontejnery s větší flexibilitou pomocí klíčů spravovaných zákazníkem. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních uložených dat ve službě Azure Cosmos DB použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/cosmosdb-cmk. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Úlohy Azure Data Boxu by měly k šifrování hesla zařízení použít klíč spravovaný zákazníkem. | Pomocí klíče spravovaného zákazníkem můžete řídit šifrování hesla pro odemknutí zařízení pro Azure Data Box. Klíče spravované zákazníkem také pomáhají spravovat přístup k odemknutí zařízení službou Data Box, aby bylo možné zařízení připravit a kopírovat data automatizovaným způsobem. Data na samotném zařízení jsou už zašifrovaná pomocí 256bitového šifrování Advanced Encryption Standard a heslo pro odemknutí zařízení se ve výchozím nastavení šifruje pomocí spravovaného klíče Microsoftu. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Šifrování neaktivních uložených dat v Azure Data Exploreru by mělo používat klíč spravovaný zákazníkem. | Povolení šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem v clusteru Azure Data Exploreru poskytuje další kontrolu nad klíčem používaným šifrováním neaktivních uložených dat. Tato funkce se často vztahuje na zákazníky se zvláštními požadavky na dodržování předpisů a ke správě klíčů vyžaduje službu Key Vault. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Datové továrny Azure by měly být šifrované pomocí klíče spravovaného zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části služby Azure Data Factory. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/adf-cmk. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Clustery Azure HDInsight by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních clusterů Azure HDInsight použijte klíče spravované zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/hdi.cmk. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Clustery Azure HDInsight by měly k šifrování neaktivních uložených dat používat šifrování na hostiteli. | Povolení šifrování na hostiteli pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Když povolíte šifrování na hostiteli, data uložená na hostiteli virtuálního počítače se šifrují v klidovém stavu a toky zašifrované do služby Storage. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pracovní prostory Služby Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem. | Správa šifrování neaktivních uložených dat pracovního prostoru Služby Azure Machine Learning pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Clustery protokolů služby Azure Monitor by měly být šifrované pomocí klíče spravovaného zákazníkem. | Vytvořte cluster protokolů Azure Monitoru s šifrováním klíčů spravovaných zákazníkem. Ve výchozím nastavení se data protokolu šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů. Klíč spravovaný zákazníkem ve službě Azure Monitor poskytuje větší kontrolu nad přístupem k datům, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Úlohy Azure Stream Analytics by měly k šifrování dat používat klíče spravované zákazníkem. | Klíče spravované zákazníkem použijte, pokud chcete bezpečně ukládat všechna metadata a privátní datové prostředky úloh Stream Analytics ve vašem účtu úložiště. Díky tomu máte úplnou kontrolu nad tím, jak se data Stream Analytics šifrují. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Pracovní prostory Azure Synapse by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete řídit šifrování neaktivních uložených dat v pracovních prostorech Azure Synapse. Klíče spravované zákazníkem poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí šifrování pomocí klíčů spravovaných službou. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Bot Service by měla být šifrovaná pomocí klíče spravovaného zákazníkem. | Azure Bot Service automaticky šifruje váš prostředek za účelem ochrany dat a splnění závazků organizace v oblasti zabezpečení a dodržování předpisů. Ve výchozím nastavení se používají šifrovací klíče spravované Microsoftem. Pokud chcete větší flexibilitu při správě klíčů nebo řízení přístupu k vašemu předplatnému, vyberte klíče spravované zákazníkem, označované také jako BYOK (Bring Your Own Key). Další informace o šifrování služby Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. | Šifrování disků s operačním systémem a datových disků pomocí klíčů spravovaných zákazníkem poskytuje větší kontrolu a větší flexibilitu při správě klíčů. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem. | Ke správě šifrování zbývajícího obsahu vašich registrů použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK. | Audit, Odepřít, Zakázáno | 1.1.2 |
| Definování procesu správy fyzických klíčů | CMA_0115 – Definování procesu správy fyzických klíčů | Ručně, zakázáno | 1.1.0 |
| Definování kryptografického použití | CMA_0120 – Definování kryptografického použití | Ručně, zakázáno | 1.1.0 |
| Definování požadavků organizace na správu kryptografických klíčů | CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů | Ručně, zakázáno | 1.1.0 |
| Určení požadavků na kontrolní výraz | CMA_0136 – Určení požadavků na kontrolní výraz | Ručně, zakázáno | 1.1.0 |
| Obory názvů centra událostí by měly pro šifrování používat klíč spravovaný zákazníkem. | Azure Event Hubs podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (výchozí) nebo klíčů spravovaných zákazníkem. Volba šifrování dat pomocí klíčů spravovaných zákazníkem umožňuje přiřadit, otočit, zakázat a odvolat přístup ke klíčům, které bude centrum událostí používat k šifrování dat ve vašem oboru názvů. Centrum událostí podporuje pouze šifrování pomocí klíčů spravovaných zákazníkem pro obory názvů ve vyhrazených clusterech. | Audit, zakázáno | 1.0.0 |
| Účty služby HPC Cache by pro šifrování měly používat klíč spravovaný zákazníkem. | Správa šifrování ve zbývající části služby Azure HPC Cache s využitím klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | Audit, Zakázáno, Odepřít | 2.0.0 |
| Vystavení certifikátů veřejného klíče | CMA_0347 – Vydávání certifikátů veřejného klíče | Ručně, zakázáno | 1.1.0 |
| Prostředí integrační služby Logic Apps by mělo být šifrované pomocí klíčů spravovaných zákazníkem. | Nasaďte do prostředí integrační služby, abyste mohli spravovat šifrování zbývajících dat Logic Apps pomocí klíčů spravovaných zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Správa symetrických kryptografických klíčů | CMA_0367 – Správa symetrických kryptografických klíčů | Ručně, zakázáno | 1.1.0 |
| Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. | Zákazníci s vysokou úrovní zabezpečení, kteří se týkají rizika spojeného s jakýmkoli konkrétním šifrovacím algoritmem, implementací nebo klíčem, se mohou rozhodnout pro další vrstvu šifrování pomocí jiného šifrovacího algoritmu nebo režimu ve vrstvě infrastruktury pomocí šifrovacích klíčů spravovaných platformou. K použití dvojitého šifrování se vyžadují sady šifrování disků. Další informace najdete na adrese https://aka.ms/disks-doubleEncryption. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Servery MySQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování zbývajících serverů MySQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | AuditIfNotExists, zakázáno | 1.0.4 |
| Disky s operačním systémem a datovými disky by měly být šifrované pomocí klíče spravovaného zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování zbývajícího obsahu spravovaných disků. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných platformou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/disks-cmk. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Servery PostgreSQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování zbývajících serverů PostgreSQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | AuditIfNotExists, zakázáno | 1.0.4 |
| Omezení přístupu k privátním klíčům | CMA_0445 – Omezení přístupu k privátním klíčům | Ručně, zakázáno | 1.1.0 |
| Uložené dotazy ve službě Azure Monitor by se měly ukládat do účtu úložiště zákazníka pro šifrování protokolů. | Propojte účet úložiště s pracovním prostorem služby Log Analytics a chraňte uložené dotazy pomocí šifrování účtu úložiště. Klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů a k větší kontrole přístupu k uloženým dotazům ve službě Azure Monitor. Další podrobnosti o výše uvedených tématech najdete v tématu https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Obory názvů Service Bus Premium by měly pro šifrování používat klíč spravovaný zákazníkem. | Azure Service Bus podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (výchozí) nebo klíčů spravovaných zákazníkem. Volba šifrování dat pomocí klíčů spravovaných zákazníkem umožňuje přiřadit, otočit, zakázat a odvolat přístup ke klíčům, které bude Service Bus používat k šifrování dat ve vašem oboru názvů. Všimněte si, že Service Bus podporuje pouze šifrování pomocí klíčů spravovaných zákazníkem pro obory názvů Premium. | Audit, zakázáno | 1.0.0 |
| Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Obory šifrování účtu úložiště by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních rozsahů šifrování účtu úložiště použijte klíče spravované zákazníkem. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče trezoru klíčů Azure vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o oborech šifrování účtu úložiště najdete na adrese https://aka.ms/encryption-scopes-overview. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem. | Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, zakázáno | 1.0.3 |
Dostupnost
ID: FedRAMP High SC-12 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zachování dostupnosti informací | CMA_C1644 – zachování dostupnosti informací | Ručně, zakázáno | 1.1.0 |
Symetrické klíče
ID: FedRAMP High SC-12 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytváření, řízení a distribuce symetrických kryptografických klíčů | CMA_C1645 – vytváření, řízení a distribuce symetrických kryptografických klíčů | Ručně, zakázáno | 1.1.0 |
Asymetrické klíče
ID: FedRAMP High SC-12 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytváření, řízení a distribuce asymetrických kryptografických klíčů | CMA_C1646 – vytváření, řízení a distribuce asymetrických kryptografických klíčů | Ručně, zakázáno | 1.1.0 |
Kryptografická ochrana
ID: FedRAMP High SC-13 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování kryptografického použití | CMA_0120 – Definování kryptografického použití | Ručně, zakázáno | 1.1.0 |
Výpočetní zařízení pro spolupráci
ID: FedRAMP High SC-15 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Explicitní upozornění na používání výpočetních zařízení pro spolupráci | CMA_C1649 – explicitně upozorňovat použití výpočetních zařízení pro spolupráci | Ručně, zakázáno | 1.1.1 |
| Zakázání vzdálené aktivace výpočetních zařízení pro spolupráci | CMA_C1648 – Zákaz vzdálené aktivace výpočetních zařízení pro spolupráci | Ručně, zakázáno | 1.1.0 |
Certifikáty infrastruktury veřejných klíčů
ID: FedRAMP High SC-17 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vystavení certifikátů veřejného klíče | CMA_0347 – Vydávání certifikátů veřejného klíče | Ručně, zakázáno | 1.1.0 |
Mobilní kód
ID: FedRAMP High SC-18 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace, monitorování a řízení používání technologií mobilního kódu | CMA_C1653 – Autorizace, monitorování a řízení používání technologií mobilního kódu | Ručně, zakázáno | 1.1.0 |
| Definování přijatelných a nepřijatelných technologií mobilního kódu | CMA_C1651 – Definování přijatelných a nepřijatelných technologií mobilního kódu | Ručně, zakázáno | 1.1.0 |
| Stanovení omezení použití pro technologie mobilního kódu | CMA_C1652 – Stanovení omezení použití pro technologie mobilního kódu | Ručně, zakázáno | 1.1.0 |
Voice Over Internet Protocol
ID: FedRAMP High SC-19 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace, monitorování a řízení voip | CMA_0025 – Autorizace, monitorování a řízení voip | Ručně, zakázáno | 1.1.0 |
| Stanovení omezení využití voip | CMA_0280 – Vytvoření omezení využití voip | Ručně, zakázáno | 1.1.0 |
Zabezpečený název nebo služba překladu adres (autoritativní zdroj)
ID: FedRAMP High SC-20 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace služby name/address service odolné proti chybám | CMA_0305 – Implementace služby s odolností proti chybám | Ručně, zakázáno | 1.1.0 |
| Zadejte zabezpečené služby překladu názvů a adres. | CMA_0416 – Poskytování zabezpečených služeb překladu adres a názvů | Ručně, zakázáno | 1.1.0 |
Služba překladu zabezpečených názvů a adres (rekurzivní překladač nebo překladač do mezipaměti)
ID: FedRAMP High SC-21 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace služby name/address service odolné proti chybám | CMA_0305 – Implementace služby s odolností proti chybám | Ručně, zakázáno | 1.1.0 |
| Ověření integrity softwaru, firmwaru a informací | CMA_0542 – Ověření integrity softwaru, firmwaru a informací | Ručně, zakázáno | 1.1.0 |
Architektura a zřizování pro službu překladu názvů a adres
ID: FedRAMP High SC-22 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace služby name/address service odolné proti chybám | CMA_0305 – Implementace služby s odolností proti chybám | Ručně, zakázáno | 1.1.0 |
Pravost relace
ID: FedRAMP High SC-23 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | Ručně, zakázáno | 1.1.0 |
| Vynucení náhodných jedinečných identifikátorů relace | CMA_0247 – Vynucování náhodných jedinečných identifikátorů relací | Ručně, zakázáno | 1.1.0 |
Zneplatnění identifikátorů relace při odhlášení
ID: FedRAMP High SC-23 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zneplatnění identifikátorů relací při odhlášení | CMA_C1661 – Zneplatnění identifikátorů relací při odhlášení | Ručně, zakázáno | 1.1.0 |
Selhání ve známém stavu
ID: FedRAMP High SC-24 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zajištění selhání informačního systému ve známém stavu | CMA_C1662 – Zajištění selhání informačního systému ve známém stavu | Ručně, zakázáno | 1.1.0 |
Ochrana neaktivních uložených informací
ID: FedRAMP High SC-28 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba App Service Environment by měla mít povolené interní šifrování. | Nastavení InternalEncryption na true zašifruje stránkovací soubor, pracovní disky a interní síťový provoz mezi front-endy a pracovními procesy v app Service Environment. Další informace najdete v https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptiontématu . | Audit, zakázáno | 1.0.1 |
| Proměnné účtu Automation by měly být šifrované. | Při ukládánícitlivýchch | Audit, Odepřít, Zakázáno | 1.1.0 |
| Úlohy Azure Data Boxu by měly povolit dvojité šifrování neaktivních uložených dat na zařízení. | Povolte druhou vrstvu softwarového šifrování neaktivních uložených dat v zařízení. Zařízení je již chráněno prostřednictvím 256bitového šifrování Advanced Encryption Standard pro neaktivní uložená data. Tato možnost přidá druhou vrstvu šifrování dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Clustery protokolů služby Azure Monitor by se měly vytvářet s povoleným šifrováním infrastruktury (dvojité šifrování). | Pokud chcete zajistit, aby bylo zabezpečené šifrování dat povolené na úrovni služby a na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči, použijte vyhrazený cluster Služby Azure Monitor. Tato možnost je ve výchozím nastavení povolena, pokud je podporována v oblasti, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Zařízení Azure Stack Edge by měla používat dvojité šifrování | Pokud chcete zabezpečit neaktivní uložená data na zařízení, ujistěte se, že jsou data dvakrát zašifrovaná, řídí se přístup k datům a po deaktivaci zařízení se data bezpečně vymažou z datových disků. Dvojité šifrování je použití dvou vrstev šifrování: 256bitové šifrování BitLockeru XTS-AES na datových svazcích a integrované šifrování pevných disků. Další informace najdete v dokumentaci k přehledu zabezpečení pro konkrétní zařízení Stack Edge. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Šifrování disků by mělo být povolené v Azure Data Exploreru. | Povolení šifrování disků pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| V Azure Data Exploreru by se mělo povolit dvojité šifrování. | Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Vytvoření postupu správy úniku dat | CMA_0255 – Vytvoření postupu správy úniku dat | Ručně, zakázáno | 1.1.0 |
| Pro servery Azure Database for MySQL by mělo být povolené šifrování infrastruktury. | Povolte šifrování infrastruktury pro servery Azure Database for MySQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilním se standardem FIPS 140-2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pro servery Azure Database for PostgreSQL by mělo být povolené šifrování infrastruktury. | Povolte šifrování infrastruktury pro servery Azure Database for PostgreSQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilními se standardem FIPS 140-2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Ochrana speciálních informací | CMA_0409 – Ochrana speciálních informací | Ručně, zakázáno | 1.1.0 |
| Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. | Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by měly mít šifrování infrastruktury. | Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Dočasné disky a mezipaměť pro fondy uzlů agenta v clusterech Azure Kubernetes Service by měly být šifrované na hostiteli. | Kvůli zvýšení zabezpečení dat by se neaktivní uložená data uložená na hostiteli virtuálních počítačů azure Kubernetes Service šifrovala neaktivní uložená data. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
| Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. | Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe. | Audit, Odepřít, Zakázáno | 1.0.0 |
Kryptografická ochrana
ID: FedRAMP High SC-28 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba App Service Environment by měla mít povolené interní šifrování. | Nastavení InternalEncryption na true zašifruje stránkovací soubor, pracovní disky a interní síťový provoz mezi front-endy a pracovními procesy v app Service Environment. Další informace najdete v https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptiontématu . | Audit, zakázáno | 1.0.1 |
| Proměnné účtu Automation by měly být šifrované. | Při ukládánícitlivýchch | Audit, Odepřít, Zakázáno | 1.1.0 |
| Úlohy Azure Data Boxu by měly povolit dvojité šifrování neaktivních uložených dat na zařízení. | Povolte druhou vrstvu softwarového šifrování neaktivních uložených dat v zařízení. Zařízení je již chráněno prostřednictvím 256bitového šifrování Advanced Encryption Standard pro neaktivní uložená data. Tato možnost přidá druhou vrstvu šifrování dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Clustery protokolů služby Azure Monitor by se měly vytvářet s povoleným šifrováním infrastruktury (dvojité šifrování). | Pokud chcete zajistit, aby bylo zabezpečené šifrování dat povolené na úrovni služby a na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči, použijte vyhrazený cluster Služby Azure Monitor. Tato možnost je ve výchozím nastavení povolena, pokud je podporována v oblasti, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Zařízení Azure Stack Edge by měla používat dvojité šifrování | Pokud chcete zabezpečit neaktivní uložená data na zařízení, ujistěte se, že jsou data dvakrát zašifrovaná, řídí se přístup k datům a po deaktivaci zařízení se data bezpečně vymažou z datových disků. Dvojité šifrování je použití dvou vrstev šifrování: 256bitové šifrování BitLockeru XTS-AES na datových svazcích a integrované šifrování pevných disků. Další informace najdete v dokumentaci k přehledu zabezpečení pro konkrétní zařízení Stack Edge. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Šifrování disků by mělo být povolené v Azure Data Exploreru. | Povolení šifrování disků pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| V Azure Data Exploreru by se mělo povolit dvojité šifrování. | Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Pro servery Azure Database for MySQL by mělo být povolené šifrování infrastruktury. | Povolte šifrování infrastruktury pro servery Azure Database for MySQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilním se standardem FIPS 140-2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pro servery Azure Database for PostgreSQL by mělo být povolené šifrování infrastruktury. | Povolte šifrování infrastruktury pro servery Azure Database for PostgreSQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilními se standardem FIPS 140-2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. | Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by měly mít šifrování infrastruktury. | Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Dočasné disky a mezipaměť pro fondy uzlů agenta v clusterech Azure Kubernetes Service by měly být šifrované na hostiteli. | Kvůli zvýšení zabezpečení dat by se neaktivní uložená data uložená na hostiteli virtuálních počítačů azure Kubernetes Service šifrovala neaktivní uložená data. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
| Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. | Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe. | Audit, Odepřít, Zakázáno | 1.0.0 |
Izolace procesů
ID: FedRAMP High SC-39 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Údržba samostatných spouštěcích domén pro spuštěné procesy | CMA_C1665 – Údržba samostatných spouštěcích domén pro spuštěné procesy | Ručně, zakázáno | 1.1.0 |
Integrita systému a informací
Zásady a postupy integrity systému a informací
ID: FedRAMP High SI-1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace zásad a postupů integrity informací | CMA_C1667 – Kontrola a aktualizace zásad a postupů integrity informací | Ručně, zakázáno | 1.1.0 |
Náprava chyb
ID: FedRAMP High SI-2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace app Service by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Aplikace funkcí by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Začlenění nápravy chyb do správy konfigurace | CMA_C1671 – Začlenění nápravy chyb do správy konfigurace | Ručně, zakázáno | 1.1.0 |
| Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | Upgradujte cluster Služby Kubernetes na novější verzi Kubernetes, abyste chránili před známými ohroženími zabezpečení ve vaší aktuální verzi Kubernetes. Chyba zabezpečení CVE-2019-9946 byla opravena ve verzi Kubernetes 1.11.9+, 1.12.7+, 1.13.5 a 1.14.0+ | Audit, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
Automatizovaný stav nápravy chyb
ID: FedRAMP High SI-2 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Automatizace nápravy chyb | CMA_0027 – Automatizace nápravy chyb | Ručně, zakázáno | 1.1.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
Doba nápravy chyb / srovnávacích testů pro opravné akce
ID: FedRAMP High SI-2 (3) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Stanovení srovnávacích testů pro nápravu chyb | CMA_C1675 – stanovení srovnávacích testů pro nápravu chyb | Ručně, zakázáno | 1.1.0 |
| Měření doby mezi identifikací chyb a nápravou chyb | CMA_C1674 – měření doby mezi identifikací chyb a nápravou chyb | Ručně, zakázáno | 1.1.0 |
Ochrana škodlivého kódu
ID: FedRAMP High SI-3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Správa bran | CMA_0363 – Správa bran | Ručně, zakázáno | 1.1.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola detekce malwaru | CMA_0475 – týdenní kontrola zpráv o detekcích malwaru | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola stavu ochrany před hrozbami | CMA_0479 – týdenní kontrola stavu ochrany před hrozbami | Ručně, zakázáno | 1.1.0 |
| Aktualizace definic antivirového softwaru | CMA_0517 – Aktualizace definic antivirové ochrany | Ručně, zakázáno | 1.1.0 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 2.0.0 |
Centrální správa
ID: FedRAMP High SI-3 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Správa bran | CMA_0363 – Správa bran | Ručně, zakázáno | 1.1.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola detekce malwaru | CMA_0475 – týdenní kontrola zpráv o detekcích malwaru | Ručně, zakázáno | 1.1.0 |
| Aktualizace definic antivirového softwaru | CMA_0517 – Aktualizace definic antivirové ochrany | Ručně, zakázáno | 1.1.0 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 2.0.0 |
Automatické aktualizace
ID: FedRAMP High SI-3 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Správa bran | CMA_0363 – Správa bran | Ručně, zakázáno | 1.1.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola detekce malwaru | CMA_0475 – týdenní kontrola zpráv o detekcích malwaru | Ručně, zakázáno | 1.1.0 |
| Aktualizace definic antivirového softwaru | CMA_0517 – Aktualizace definic antivirové ochrany | Ručně, zakázáno | 1.1.0 |
Detekce na základě nepřiřazené architektury
ID: FedRAMP High SI-3 (7) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Správa bran | CMA_0363 – Správa bran | Ručně, zakázáno | 1.1.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola detekce malwaru | CMA_0475 – týdenní kontrola zpráv o detekcích malwaru | Ručně, zakázáno | 1.1.0 |
| Aktualizace definic antivirového softwaru | CMA_0517 – Aktualizace definic antivirové ochrany | Ručně, zakázáno | 1.1.0 |
Monitorování informačního systému
ID: FedRAMP High SI-4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 6.0.0-preview |
| [Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. | Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc | Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Získání právního stanoviska k monitorování systémových aktivit | CMA_C1688 – získání právního stanoviska k monitorování systémových činností | Ručně, zakázáno | 1.1.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Podle potřeby zadejte informace o monitorování. | CMA_C1689 – podle potřeby poskytovat informace o monitorování | Ručně, zakázáno | 1.1.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Automatizované nástroje pro analýzu v reálném čase
ID: FedRAMP High SI-4 (2) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentovat operace zabezpečení | CMA_0202 – Zdokumentovat operace zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zapnutí senzorů pro řešení zabezpečení koncových bodů | CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů | Ručně, zakázáno | 1.1.0 |
Příchozí a odchozí komunikační provoz
ID: FedRAMP High SI-4 (4) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace, monitorování a řízení voip | CMA_0025 – Autorizace, monitorování a řízení voip | Ručně, zakázáno | 1.1.0 |
| Implementace ochrany hranic systému | CMA_0328 – Implementace ochrany hranic systému | Ručně, zakázáno | 1.1.0 |
| Správa bran | CMA_0363 – Správa bran | Ručně, zakázáno | 1.1.0 |
| Směrování provozu přes spravované síťové přístupové body | CMA_0484 – Směrování provozu přes spravované síťové přístupové body | Ručně, zakázáno | 1.1.0 |
Upozornění generovaná systémem
ID: FedRAMP High SI-4 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pracovníci upozornění na přelití informací | CMA_0007 – pracovníci upozornění na únik informací | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | Ručně, zakázáno | 1.1.0 |
Detekce bezdrátového vniknutí
ID: FedRAMP High SI-4 (14) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentovat řízení zabezpečení bezdrátového přístupu | CMA_C1695 – zdokumentovat řízení zabezpečení bezdrátového přístupu | Ručně, zakázáno | 1.1.0 |
Neoprávněné síťové služby
ID: FedRAMP High SI-4 (22) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zjištění síťových služeb, které nebyly autorizované nebo schválené | CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené | Ručně, zakázáno | 1.1.0 |
Indikátory ohrožení zabezpečení
ID: FedRAMP High SI-4 (24) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zjištění indikátorů ohrožení zabezpečení | CMA_C1702 – objevte všechny indikátory ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
Výstrahy zabezpečení, informační zpravodaje a direktivy
ID: FedRAMP High SI-5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Šíření výstrah zabezpečení pracovníkům | CMA_C1705 – Šíření výstrah zabezpečení pracovníkům | Ručně, zakázáno | 1.1.0 |
| Vytvoření programu analýzy hrozeb | CMA_0260 – Vytvoření programu analýzy hrozeb | Ručně, zakázáno | 1.1.0 |
| Generování interních výstrah zabezpečení | CMA_C1704 – Generování interních výstrah zabezpečení | Ručně, zakázáno | 1.1.0 |
| Implementace direktiv zabezpečení | CMA_C1706 – Implementace direktiv zabezpečení | Ručně, zakázáno | 1.1.0 |
Automatizované výstrahy a informační zpravodaje
ID: FedRAMP High SI-5 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití automatizovaných mechanismů pro výstrahy zabezpečení | CMA_C1707 – Použití automatizovaných mechanismů pro výstrahy zabezpečení | Ručně, zakázáno | 1.1.0 |
Ověření funkce zabezpečení
ID: FedRAMP High SI-6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření alternativních akcí pro identifikované anomálie | CMA_C1711 – Vytvoření alternativních akcí pro identifikované anomálie | Ručně, zakázáno | 1.1.0 |
| Upozorněte pracovníky na neúspěšné testy ověření zabezpečení. | CMA_C1710 – informujte pracovníky o neúspěšných testech ověření zabezpečení. | Ručně, zakázáno | 1.1.0 |
| Ověření bezpečnostní funkce s definovanou frekvencí | CMA_C1709 – provedení ověření funkce zabezpečení s definovanou frekvencí | Ručně, zakázáno | 1.1.0 |
| Ověření funkcí zabezpečení | CMA_C1708 – Ověření funkcí zabezpečení | Ručně, zakázáno | 1.1.0 |
Integrita softwaru, firmwaru a informací
ID: FedRAMP High SI-7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ověření integrity softwaru, firmwaru a informací | CMA_0542 – Ověření integrity softwaru, firmwaru a informací | Ručně, zakázáno | 1.1.0 |
Kontroly integrity
ID: FedRAMP High SI-7 (1) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ověření integrity softwaru, firmwaru a informací | CMA_0542 – Ověření integrity softwaru, firmwaru a informací | Ručně, zakázáno | 1.1.0 |
| Zobrazení a konfigurace diagnostických dat systému | CMA_0544 – Zobrazení a konfigurace diagnostických dat systému | Ručně, zakázáno | 1.1.0 |
Automatizovaná reakce na porušení integrity
ID: FedRAMP High SI-7 (5) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití automatického vypnutí/restartování při zjištění porušení | CMA_C1715 – Použití automatického vypnutí/restartování při zjištění porušení | Ručně, zakázáno | 1.1.0 |
Binární nebo strojový spustitelný kód
ID: FedRAMP High SI-7 (14) Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zakázání binárního nebo strojově spustitelného kódu | CMA_C1717 – Zakázání binárního nebo strojově spustitelného kódu | Ručně, zakázáno | 1.1.0 |
Ověření vstupu informací
ID: FedRAMP High SI-10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ověření vstupu informací | CMA_C1723 – provedení ověření vstupu informací | Ručně, zakázáno | 1.1.0 |
Zpracování chyb
ID: FedRAMP High SI-11 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Generování chybových zpráv | CMA_C1724 – Generování chybových zpráv | Ručně, zakázáno | 1.1.0 |
| Zobrazení chybových zpráv | CMA_C1725 – zobrazení chybových zpráv | Ručně, zakázáno | 1.1.0 |
Zpracování a uchovávání informací
ID: FedRAMP High SI-12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
| Správa vstupu, výstupu, zpracování a ukládání dat | CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat | Ručně, zakázáno | 1.1.0 |
| Kontrola aktivity a analýzy popisků | CMA_0474 – Kontrola aktivit a analýz popisků | Ručně, zakázáno | 1.1.0 |
Ochrana paměti
ID: FedRAMP High SI-16 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 2.0.0 |
Další kroky
Další články o službě Azure Policy:
- Přehled dodržování právních předpisů
- Podívejte se na strukturu definice iniciativy.
- Projděte si další příklady v ukázkách služby Azure Policy.
- Projděte si Vysvětlení efektů zásad.
- Zjistěte, jak napravit nevyhovující prostředky.