Podrobnosti o integrované iniciativě dodržování právních předpisů NIST SP 800-171 R2
Následující článek podrobně popisuje, jak se předdefinovaná definice iniciativy dodržování předpisů azure Policy mapuje na domény dodržování předpisů a ovládací prvky v NIST SP 800-171 R2. Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-171 R2. Pokud chcete porozumět vlastnictví, projděte si typ zásad a sdílenou odpovědnost v cloudu.
Následující mapování jsou na ovládací prvky NIST SP 800-171 R2 . Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy . Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásady na webu Azure Portal a vyberte stránku Definice . Pak vyhledejte a vyberte definici iniciativy NIST SP 800-171 Rev. 2 Dodržování právních předpisů.
Důležité
Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné definice zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi služby Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.
Řízení přístupu
Omezte přístup k systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných systémů).
ID: NIST SP 800-171 R2 3.1.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditování počítačů s Linuxem, které mají účty bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které mají účty bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, zakázáno | 3.2.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Rozhraní Azure API for FHIR by mělo používat privátní propojení. | Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Spring Cloud by měl používat injektáž sítě | Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. | Audit, Zakázáno, Odepřít | 1.2.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Služba Azure Web PubSub by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, zakázáno | 1.0.0 |
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Definování typů účtů informačního systému | CMA_0121 – definování typů účtů informačního systému | Ručně, zakázáno | 1.1.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro účty úložiště můžete poskytovat vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
Ukončete (automaticky) uživatelskou relaci po definované podmínce.
ID: NIST SP 800-171 R2 3.1.11 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Automatické ukončení uživatelské relace | CMA_C1054 – Ukončení uživatelské relace automaticky | Ručně, zakázáno | 1.1.0 |
Monitorování a řízení relací vzdáleného přístupu
ID: NIST SP 800-171 R2 3.1.12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | AuditIfNotExists, zakázáno | 3.1.0 |
| Rozhraní Azure API for FHIR by mělo používat privátní propojení. | Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Spring Cloud by měl používat injektáž sítě | Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. | Audit, Zakázáno, Odepřít | 1.2.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Služba Azure Web PubSub by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, zakázáno | 1.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Monitorování přístupu v celé organizaci | CMA_0376 – Monitorování přístupu v celé organizaci | Ručně, zakázáno | 1.1.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
Používejte kryptografické mechanismy k ochraně důvěrnosti relací vzdáleného přístupu.
ID: NIST SP 800-171 R2 3.1.13 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Rozhraní Azure API for FHIR by mělo používat privátní propojení. | Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Spring Cloud by měl používat injektáž sítě | Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. | Audit, Zakázáno, Odepřít | 1.2.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Služba Azure Web PubSub by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, zakázáno | 1.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Upozorňovat uživatele na přihlášení k systému nebo přístup | CMA_0382 – Upozorněte uživatele na přihlášení nebo přístup k systému | Ručně, zakázáno | 1.1.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
Směrování vzdáleného přístupu prostřednictvím spravovaných přístupových kontrolních bodů
ID: NIST SP 800-171 R2 3.1.14 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Rozhraní Azure API for FHIR by mělo používat privátní propojení. | Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Spring Cloud by měl používat injektáž sítě | Instance Azure Spring Cloud by měly používat injektáž virtuální sítě pro následující účely: 1. Izolujte Azure Spring Cloud od internetu. 2. Povolte Službě Azure Spring Cloud interakci se systémy v místních datových centrech nebo službě Azure v jiných virtuálních sítích. 3. Umožněte zákazníkům řídit příchozí a odchozí síťovou komunikaci pro Azure Spring Cloud. | Audit, Zakázáno, Odepřít | 1.2.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Služba Azure Web PubSub by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, zakázáno | 1.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Směrování provozu přes spravované síťové přístupové body | CMA_0484 – Směrování provozu přes spravované síťové přístupové body | Ručně, zakázáno | 1.1.0 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
Autorizace vzdáleného spouštění privilegovaných příkazů a vzdáleného přístupu k informacím relevantním pro zabezpečení
ID: NIST SP 800-171 R2 3.1.15 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace vzdáleného přístupu | CMA_0024 – Autorizace vzdáleného přístupu | Ručně, zakázáno | 1.1.0 |
| Autorizace vzdáleného přístupu k privilegovaným příkazům | CMA_C1064 – Autorizace vzdáleného přístupu k privilegovaným příkazům | Ručně, zakázáno | 1.1.0 |
| Zdokumentovat pokyny pro vzdálený přístup | CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | Ručně, zakázáno | 1.1.0 |
| Poskytnutí školení k ochraně osobních údajů | CMA_0415 – poskytování školení k ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
Autorizace bezdrátového přístupu před povolením těchto připojení
ID: NIST SP 800-171 R2 3.1.16 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentujte a implementujte pokyny pro bezdrátový přístup | CMA_0190 – Dokument a implementace pokynů pro bezdrátový přístup | Ručně, zakázáno | 1.1.0 |
| Ochrana bezdrátového přístupu | CMA_0411 – Ochrana bezdrátového přístupu | Ručně, zakázáno | 1.1.0 |
Ochrana bezdrátového přístupu pomocí ověřování a šifrování
ID: NIST SP 800-171 R2 3.1.17 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentujte a implementujte pokyny pro bezdrátový přístup | CMA_0190 – Dokument a implementace pokynů pro bezdrátový přístup | Ručně, zakázáno | 1.1.0 |
| Identifikace a ověřování síťových zařízení | CMA_0296 – Identifikace a ověřování síťových zařízení | Ručně, zakázáno | 1.1.0 |
| Ochrana bezdrátového přístupu | CMA_0411 – Ochrana bezdrátového přístupu | Ručně, zakázáno | 1.1.0 |
Řízení připojení mobilních zařízení
ID: NIST SP 800-171 R2 3.1.18 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování požadavků na mobilní zařízení | CMA_0122 – Definování požadavků na mobilní zařízení | Ručně, zakázáno | 1.1.0 |
Šifrování CUI na mobilních zařízeních a mobilních výpočetních platformách
ID: NIST SP 800-171 R2 3.1.19 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování požadavků na mobilní zařízení | CMA_0122 – Definování požadavků na mobilní zařízení | Ručně, zakázáno | 1.1.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
Omezte systémový přístup k typům transakcí a funkcí, které mají oprávnění uživatelé spouštět.
ID: NIST SP 800-171 R2 3.1.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Autorizace vzdáleného přístupu | CMA_0024 – Autorizace vzdáleného přístupu | Ručně, zakázáno | 1.1.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Vynucení vhodného využití všech účtů | CMA_C1023 – vynucování vhodného využití všech účtů | Ručně, zakázáno | 1.1.0 |
| Vynucení logického přístupu | CMA_0245 – vynucení logického přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Monitorování přiřazení privilegovaných rolí | CMA_0378 – Monitorování přiřazení privilegovaných rolí | Ručně, zakázáno | 1.1.0 |
| Vyžadovat schválení pro vytvoření účtu | CMA_0431 – Vyžadování schválení pro vytvoření účtu | Ručně, zakázáno | 1.1.0 |
| Omezení přístupu k privilegovaným účtům | CMA_0446 – Omezení přístupu k privilegovaným účtům | Ručně, zakázáno | 1.1.0 |
| Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | Ručně, zakázáno | 1.1.0 |
| Odvolání privilegovaných rolí podle potřeby | CMA_0483 – Odvolání privilegovaných rolí podle potřeby | Ručně, zakázáno | 1.1.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro účty úložiště můžete poskytovat vylepšení zabezpečení, jako jsou: silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Použití správy privilegovaných identit | CMA_0533 – Použití správy privilegovaných identit | Ručně, zakázáno | 1.1.0 |
| Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | Pomocí nového Azure Resource Manageru pro virtuální počítače můžete poskytovat vylepšení zabezpečení, jako je například silnější řízení přístupu (RBAC), lepší auditování, nasazení a zásady správného řízení na základě Azure Resource Manageru, přístup ke spravovaným identitám, přístup k trezoru klíčů pro tajné kódy, ověřování na základě Azure AD a podpora značek a skupin prostředků pro snadnější správu zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.0 |
Ověřte a omezte připojení k externím systémům a jejich používání.
ID: NIST SP 800-171 R2 3.1.20 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Stanovení podmínek a ujednání pro přístup k prostředkům | CMA_C1076 – Vytvoření podmínek a ujednání pro přístup k prostředkům | Ručně, zakázáno | 1.1.0 |
| Stanovení podmínek a ujednání pro zpracování prostředků | CMA_C1077 – Stanovení podmínek a ujednání pro zpracování prostředků | Ručně, zakázáno | 1.1.0 |
Omezte používání přenosných úložných zařízení na externích systémech.
ID: NIST SP 800-171 R2 3.1.21 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Řízení používání přenosných úložných zařízení | CMA_0083 – řízení používání přenosných úložných zařízení | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
Řízení CUI vystavených nebo zpracovaných na veřejně přístupných systémech.
ID: NIST SP 800-171 R2 3.1.22 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Určení autorizovaných pracovníků k publikování veřejně přístupných informací | CMA_C1083 – Určení autorizovaných pracovníků k publikování veřejně přístupných informací | Ručně, zakázáno | 1.1.0 |
| Kontrola obsahu před publikováním veřejně přístupných informací | CMA_C1085 – Kontrola obsahu před publikováním veřejně přístupných informací | Ručně, zakázáno | 1.1.0 |
| Kontrola veřejně přístupného obsahu pro neveřejné informace | CMA_C1086 – Kontrola veřejně přístupného obsahu pro neveřejné informace | Ručně, zakázáno | 1.1.0 |
| Trénování pracovníků o zpřístupnění nepublikovaných informací | CMA_C1084 – trénování pracovníků o zpřístupnění nepublikovaných informací | Ručně, zakázáno | 1.1.0 |
Řízení toku CUI v souladu se schválenými autorizací.
ID: NIST SP 800-171 R2 3.1.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služby API Management by měly používat virtuální síť. | Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.1 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Rozhraní Azure API for FHIR by mělo používat privátní propojení. | Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. | Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Služba Azure Web PubSub by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, zakázáno | 1.0.0 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Tok informací o řízení | CMA_0079 – tok informací o řízení | Ručně, zakázáno | 1.1.0 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Použití mechanismů řízení toku zašifrovaných informací | CMA_0211 – využití mechanismů řízení toku zašifrovaných informací | Ručně, zakázáno | 1.1.0 |
| Vytvoření standardů konfigurace brány firewall a směrovače | CMA_0272 – Vytvoření standardů konfigurace brány firewall a směrovače | Ručně, zakázáno | 1.1.0 |
| Vytvoření segmentace sítě pro datové prostředí držitelů karet | CMA_0273 – Vytvoření segmentace sítě pro datové prostředí držitelů karet | Ručně, zakázáno | 1.1.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Identifikace a správa výměn podřízených informací | CMA_0298 – Identifikace a správa výměn informací v podřízených | Ručně, zakázáno | 1.1.0 |
| Řízení toku informací pomocí filtrů zásad zabezpečení | CMA_C1029 – řízení toku informací pomocí filtrů zásad zabezpečení | Ručně, zakázáno | 1.1.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
Oddělte povinnosti jednotlivců, aby se snížilo riziko zlovolné činnosti bez koluze.
ID: NIST SP 800-171 R2 3.1.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Auditovat počítače s Windows, u které chybí některý ze zadaných členů ve skupině Administrators | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud místní skupina Administrators neobsahuje jeden nebo více členů uvedených v parametru zásad. | auditIfNotExists | 2.0.0 |
| Auditování počítačů s Windows se zadanými členy ve skupině Administrators | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud místní skupina Administrators obsahuje jeden nebo více členů uvedených v parametru zásady. | auditIfNotExists | 2.0.0 |
| Definování autorizací přístupu pro podporu oddělení povinností | CMA_0116 – Definování autorizací přístupu pro podporu oddělení povinností | Ručně, zakázáno | 1.1.0 |
| Dokument oddělení povinností | CMA_0204 – dokument oddělení povinností | Ručně, zakázáno | 1.1.0 |
| Samostatné povinnosti jednotlivců | CMA_0492 - samostatné povinnosti jednotlivců | Ručně, zakázáno | 1.1.0 |
| K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
Používejte princip nejnižších oprávnění, včetně konkrétních funkcí zabezpečení a privilegovaných účtů.
ID: NIST SP 800-171 R2 3.1.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Návrh modelu řízení přístupu | CMA_0129 – Návrh modelu řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Využití přístupu s nejnižšími oprávněními | CMA_0212 – Využití přístupu s nejnižšími oprávněními | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Omezení přístupu k privilegovaným účtům | CMA_0446 – Omezení přístupu k privilegovaným účtům | Ručně, zakázáno | 1.1.0 |
Zabraňte neprivilegovaným uživatelům v provádění privilegovaných funkcí a zachytávání provádění těchto funkcí v protokolech auditu.
ID: NIST SP 800-171 R2 3.1.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Provedení úplné analýzy textu protokolovaných privilegovaných příkazů | CMA_0056 – Provedení úplné analýzy textu protokolovaných privilegovaných příkazů | Ručně, zakázáno | 1.1.0 |
| Monitorování přiřazení privilegovaných rolí | CMA_0378 – Monitorování přiřazení privilegovaných rolí | Ručně, zakázáno | 1.1.0 |
| Omezení přístupu k privilegovaným účtům | CMA_0446 – Omezení přístupu k privilegovaným účtům | Ručně, zakázáno | 1.1.0 |
| Odvolání privilegovaných rolí podle potřeby | CMA_0483 – Odvolání privilegovaných rolí podle potřeby | Ručně, zakázáno | 1.1.0 |
| Použití správy privilegovaných identit | CMA_0533 – Použití správy privilegovaných identit | Ručně, zakázáno | 1.1.0 |
Omezte neúspěšné pokusy o přihlášení.
ID: NIST SP 800-171 R2 3.1.8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vynucení limitu po sobě jdoucích neúspěšných pokusů o přihlášení | CMA_C1044 – Vynucení limitu po sobě jdoucích neúspěšných pokusů o přihlášení | Ručně, zakázáno | 1.1.0 |
Fyzická ochrana
Omezte fyzický přístup k organizačním systémům, vybavení a příslušným provozním prostředím autorizovaným jednotlivcům.
ID: NIST SP 800-171 R2 3.10.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
Chraňte a monitorujte fyzické zařízení a infrastrukturu podpory pro organizační systémy.
ID: NIST SP 800-171 R2 3.10.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Instalace alarmového systému | CMA_0338 – Instalace alarmového systému | Ručně, zakázáno | 1.1.0 |
| Správa zabezpečeného systému kamerového dohledu | CMA_0354 – Správa zabezpečeného systému kamer s dohledem | Ručně, zakázáno | 1.1.0 |
Doprovod návštěvníků a sledování aktivit návštěvníků.
ID: NIST SP 800-171 R2 3.10.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
Udržujte protokoly auditu fyzického přístupu.
ID: NIST SP 800-171 R2 3.10.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
Řízení a správa fyzických přístupových zařízení
ID: NIST SP 800-171 R2 3.10.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
| Definování procesu správy fyzických klíčů | CMA_0115 – Definování procesu správy fyzických klíčů | Ručně, zakázáno | 1.1.0 |
| Vytvoření a údržba inventáře aktiv | CMA_0266 – Vytvoření a údržba inventáře prostředků | Ručně, zakázáno | 1.1.0 |
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
Vynucujte ochranná opatření pro CUI na alternativních pracovních místech.
ID: NIST SP 800-171 R2 3.10.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | Ručně, zakázáno | 1.1.0 |
Hodnocení rizika
Pravidelně vyhodnocujte riziko pro provoz organizace, organizační prostředky a jednotlivce, které jsou výsledkem provozu organizačních systémů a přidruženého zpracování, ukládání nebo přenosu CUI.
ID: NIST SP 800-171 R2 3.11.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Posouzení rizika v relacích třetích stran | CMA_0014 – Posouzení rizika v relacích třetích stran | Ručně, zakázáno | 1.1.0 |
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace.
ID: NIST SP 800-171 R2 3.11.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Implementace privilegovaného přístupu pro provádění aktivit kontroly ohrožení zabezpečení | CMA_C1555 – Implementace privilegovaného přístupu pro provádění aktivit kontroly ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
| Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích | Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
| Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
| Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
| V pracovních prostorech Synapse by se mělo povolit posouzení ohrožení zabezpečení. | Zjišťování, sledování a náprava potenciálních ohrožení zabezpečení konfigurací opakovaných kontrol posouzení ohrožení zabezpečení SQL v pracovních prostorech Synapse | AuditIfNotExists, zakázáno | 1.0.0 |
Opravte ohrožení zabezpečení v souladu s posouzeními rizik.
ID: NIST SP 800-171 R2 3.11.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
| Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích | Posouzení ohrožení zabezpečení SQL zkontroluje ohrožení zabezpečení databáze a zpřístupňuje případné odchylky od osvědčených postupů, jako jsou chybné konfigurace, nadměrná oprávnění a nechráněná citlivá data. Řešení nalezených ohrožení zabezpečení může výrazně zlepšit stav zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
| Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
| Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
| V pracovních prostorech Synapse by se mělo povolit posouzení ohrožení zabezpečení. | Zjišťování, sledování a náprava potenciálních ohrožení zabezpečení konfigurací opakovaných kontrol posouzení ohrožení zabezpečení SQL v pracovních prostorech Synapse | AuditIfNotExists, zakázáno | 1.0.0 |
Posouzení zabezpečení
Pravidelně vyhodnocujte bezpečnostní prvky v organizačních systémech, abyste zjistili, jestli jsou kontrolní mechanismy v jejich aplikaci účinné.
ID: NIST SP 800-171 R2 3.12.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Posouzení bezpečnostních prvků | CMA_C1145 – posouzení bezpečnostních prvků | Ručně, zakázáno | 1.1.0 |
| Doručování výsledků posouzení zabezpečení | CMA_C1147 – Poskytování výsledků posouzení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu posouzení zabezpečení | CMA_C1144 – Vývoj plánu posouzení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vytvoření sestavy posouzení zabezpečení | CMA_C1146 – Vytvoření sestavy posouzení zabezpečení | Ručně, zakázáno | 1.1.0 |
Vyvíjejte a implementujte plány akcí, které jsou navržené tak, aby opravovaly nedostatky a omezovaly nebo eliminovaly ohrožení zabezpečení v organizačních systémech.
ID: NIST SP 800-171 R2 3.12.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj POA&M | CMA_C1156 – Vývoj POA&M | Ručně, zakázáno | 1.1.0 |
| Vytvoření strategie řízení rizik | CMA_0258 – Vytvoření strategie řízení rizik | Ručně, zakázáno | 1.1.0 |
| Implementace plánů akcí a milníků pro proces programu zabezpečení | CMA_C1737 – implementace plánů akcí a milníků pro proces programu zabezpečení | Ručně, zakázáno | 1.1.0 |
| Aktualizace položek POA&M | CMA_C1157 – Aktualizace položek POA&M | Ručně, zakázáno | 1.1.0 |
Průběžně monitorujte bezpečnostní prvky, abyste zajistili trvalou účinnost kontrol.
ID: NIST SP 800-171 R2 3.12.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace seznamu povolených zjišťování | CMA_0068 – Konfigurace seznamu povolených zjišťování | Ručně, zakázáno | 1.1.0 |
| Zapnutí senzorů pro řešení zabezpečení koncových bodů | CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů | Ručně, zakázáno | 1.1.0 |
| Projít nezávislou kontrolou zabezpečení | CMA_0515 – Projděte si nezávislou kontrolu zabezpečení | Ručně, zakázáno | 1.1.0 |
Vyvíjejte, dokumentujte a pravidelně aktualizujte plány zabezpečení systému, které popisují hranice systému, systémová prostředí provozu, jak se implementují požadavky na zabezpečení, a vztahy s jinými systémy nebo jejich propojení.
ID: NIST SP 800-171 R2 3.12.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj a vytvoření plánu zabezpečení systému | CMA_0151 – Vývoj a vytvoření plánu zabezpečení systému | Ručně, zakázáno | 1.1.0 |
| Vývoj zásad a postupů zabezpečení informací | CMA_0158 – Vývoj zásad a postupů zabezpečení informací | Ručně, zakázáno | 1.1.0 |
| Vývoj ZSP, který splňuje kritéria | CMA_C1492 – Vývoj ZSP, který splňuje kritéria | Ručně, zakázáno | 1.1.0 |
| Vytvoření programu ochrany osobních údajů | CMA_0257 – Vytvoření programu ochrany osobních údajů | Ručně, zakázáno | 1.1.0 |
| Vytvoření programu zabezpečení informací | CMA_0263 – Vytvoření programu zabezpečení informací | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na zabezpečení pro výrobu připojených zařízení | CMA_0279 – Stanovení požadavků na zabezpečení pro výrobu připojených zařízení | Ručně, zakázáno | 1.1.0 |
| Implementace principů přípravy zabezpečení informačních systémů | CMA_0325 – Implementace principů bezpečnostního inženýrství informačních systémů | Ručně, zakázáno | 1.1.0 |
| Aktualizace zásad zabezpečení informací | CMA_0518 – aktualizace zásad zabezpečení informací | Ručně, zakázáno | 1.1.0 |
System and Communications Protection
Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů.
ID: NIST SP 800-171 R2 3.13.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služby API Management by měly používat virtuální síť. | Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.1 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Rozhraní Azure API for FHIR by mělo používat privátní propojení. | Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. | Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Služba Azure Web PubSub by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, zakázáno | 1.0.0 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
Vytvoření a správa kryptografických klíčů pro kryptografii používané v organizačních systémech
ID: NIST SP 800-171 R2 3.13.10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Trezory služby Azure Recovery Services by měly pro šifrování zálohovaných dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních zálohovaných dat. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/AB-CmkEncryption. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| [Preview]: Data služby zřizování zařízení služby IoT Hub by se měla šifrovat pomocí klíčů spravovaných zákazníkem (CMK) | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části služby IoT Hub device Provisioning. Neaktivní uložená data se automaticky šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem (CMK) se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče CMK umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Další informace o šifrování CMK najdete na adrese https://aka.ms/dps/CMK. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| Prostředky azure AI Services by měly šifrovat neaktivní uložená data pomocí klíče spravovaného zákazníkem (CMK) | Použití klíčů spravovaných zákazníkem k šifrování neaktivních uložených dat poskytuje větší kontrolu nad životním cyklem klíčů, včetně obměně a správy. To je zvlášť důležité pro organizace, které mají související požadavky na dodržování předpisů. Toto se ve výchozím nastavení neposoudí a mělo by se použít pouze v případě, že je to vyžadováno požadavky na dodržování předpisů nebo omezující zásady. Pokud tato možnost není povolená, budou data šifrovaná pomocí klíčů spravovaných platformou. Pokud chcete tento parametr implementovat, aktualizujte parametr Effect v zásadách zabezpečení pro příslušný obor. | Audit, Odepřít, Zakázáno | 2.2.0 |
| Rozhraní Azure API for FHIR by mělo k šifrování neaktivních uložených dat použít klíč spravovaný zákazníkem. | Klíč spravovaný zákazníkem můžete použít k řízení šifrování neaktivních uložených dat uložených v rozhraní Azure API for FHIR, pokud se jedná o zákonný požadavek nebo požadavek na dodržování předpisů. Klíče spravované zákazníkem také poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí vrstvu provedenou pomocí klíčů spravovaných službou. | audit, Audit, Disabled, Disabled | 1.1.0 |
| Účty Azure Automation by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních účtů Azure Automation použijte klíče spravované zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/automation-cmk. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účet Azure Batch by měl k šifrování dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování neaktivních uložených dat účtu Batch. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/Batch-CMK. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Skupina kontejnerů služby Azure Container Instance by měla k šifrování používat klíč spravovaný zákazníkem. | Zabezpečte kontejnery s větší flexibilitou pomocí klíčů spravovaných zákazníkem. Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních uložených dat ve službě Azure Cosmos DB použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/cosmosdb-cmk. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Úlohy Azure Data Boxu by měly k šifrování hesla zařízení použít klíč spravovaný zákazníkem. | Pomocí klíče spravovaného zákazníkem můžete řídit šifrování hesla pro odemknutí zařízení pro Azure Data Box. Klíče spravované zákazníkem také pomáhají spravovat přístup k odemknutí zařízení službou Data Box, aby bylo možné zařízení připravit a kopírovat data automatizovaným způsobem. Data na samotném zařízení jsou už zašifrovaná pomocí 256bitového šifrování Advanced Encryption Standard a heslo pro odemknutí zařízení se ve výchozím nastavení šifruje pomocí spravovaného klíče Microsoftu. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Šifrování neaktivních uložených dat v Azure Data Exploreru by mělo používat klíč spravovaný zákazníkem. | Povolení šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem v clusteru Azure Data Exploreru poskytuje další kontrolu nad klíčem používaným šifrováním neaktivních uložených dat. Tato funkce se často vztahuje na zákazníky se zvláštními požadavky na dodržování předpisů a ke správě klíčů vyžaduje službu Key Vault. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Datové továrny Azure by měly být šifrované pomocí klíče spravovaného zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování ve zbývající části služby Azure Data Factory. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/adf-cmk. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Clustery Azure HDInsight by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních clusterů Azure HDInsight použijte klíče spravované zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/hdi.cmk. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Clustery Azure HDInsight by měly k šifrování neaktivních uložených dat používat šifrování na hostiteli. | Povolení šifrování na hostiteli pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Když povolíte šifrování na hostiteli, data uložená na hostiteli virtuálního počítače se šifrují v klidovém stavu a toky zašifrované do služby Storage. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pracovní prostory Služby Azure Machine Learning by měly být šifrované pomocí klíče spravovaného zákazníkem. | Správa šifrování neaktivních uložených dat pracovního prostoru Služby Azure Machine Learning pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Clustery protokolů služby Azure Monitor by měly být šifrované pomocí klíče spravovaného zákazníkem. | Vytvořte cluster protokolů Azure Monitoru s šifrováním klíčů spravovaných zákazníkem. Ve výchozím nastavení se data protokolu šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů. Klíč spravovaný zákazníkem ve službě Azure Monitor poskytuje větší kontrolu nad přístupem k datům, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Úlohy Azure Stream Analytics by měly k šifrování dat používat klíče spravované zákazníkem. | Klíče spravované zákazníkem použijte, pokud chcete bezpečně ukládat všechna metadata a privátní datové prostředky úloh Stream Analytics ve vašem účtu úložiště. Díky tomu máte úplnou kontrolu nad tím, jak se data Stream Analytics šifrují. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Pracovní prostory Azure Synapse by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete řídit šifrování neaktivních uložených dat v pracovních prostorech Azure Synapse. Klíče spravované zákazníkem poskytují dvojité šifrování přidáním druhé vrstvy šifrování nad výchozí šifrování pomocí klíčů spravovaných službou. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Bot Service by měla být šifrovaná pomocí klíče spravovaného zákazníkem. | Azure Bot Service automaticky šifruje váš prostředek za účelem ochrany dat a splnění závazků organizace v oblasti zabezpečení a dodržování předpisů. Ve výchozím nastavení se používají šifrovací klíče spravované Microsoftem. Pokud chcete větší flexibilitu při správě klíčů nebo řízení přístupu k vašemu předplatnému, vyberte klíče spravované zákazníkem, označované také jako BYOK (Bring Your Own Key). Další informace o šifrování služby Azure Bot Service: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Operační systémy i datové disky v clusterech Azure Kubernetes Service by měly být šifrované klíči spravovanými zákazníkem. | Šifrování disků s operačním systémem a datových disků pomocí klíčů spravovaných zákazníkem poskytuje větší kontrolu a větší flexibilitu při správě klíčů. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem. | Ke správě šifrování zbývajícího obsahu vašich registrů použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK. | Audit, Odepřít, Zakázáno | 1.1.2 |
| Definování procesu správy fyzických klíčů | CMA_0115 – Definování procesu správy fyzických klíčů | Ručně, zakázáno | 1.1.0 |
| Definování kryptografického použití | CMA_0120 – Definování kryptografického použití | Ručně, zakázáno | 1.1.0 |
| Definování požadavků organizace na správu kryptografických klíčů | CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů | Ručně, zakázáno | 1.1.0 |
| Určení požadavků na kontrolní výraz | CMA_0136 – Určení požadavků na kontrolní výraz | Ručně, zakázáno | 1.1.0 |
| Obory názvů centra událostí by měly pro šifrování používat klíč spravovaný zákazníkem. | Azure Event Hubs podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (výchozí) nebo klíčů spravovaných zákazníkem. Volba šifrování dat pomocí klíčů spravovaných zákazníkem umožňuje přiřadit, otočit, zakázat a odvolat přístup ke klíčům, které bude centrum událostí používat k šifrování dat ve vašem oboru názvů. Centrum událostí podporuje pouze šifrování pomocí klíčů spravovaných zákazníkem pro obory názvů ve vyhrazených clusterech. | Audit, zakázáno | 1.0.0 |
| Účty služby HPC Cache by pro šifrování měly používat klíč spravovaný zákazníkem. | Správa šifrování ve zbývající části služby Azure HPC Cache s využitím klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | Audit, Zakázáno, Odepřít | 2.0.0 |
| Vystavení certifikátů veřejného klíče | CMA_0347 – Vydávání certifikátů veřejného klíče | Ručně, zakázáno | 1.1.0 |
| Prostředí integrační služby Logic Apps by mělo být šifrované pomocí klíčů spravovaných zákazníkem. | Nasaďte do prostředí integrační služby, abyste mohli spravovat šifrování zbývajících dat Logic Apps pomocí klíčů spravovaných zákazníkem. Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Správa symetrických kryptografických klíčů | CMA_0367 – Správa symetrických kryptografických klíčů | Ručně, zakázáno | 1.1.0 |
| Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. | Zákazníci s vysokou úrovní zabezpečení, kteří se týkají rizika spojeného s jakýmkoli konkrétním šifrovacím algoritmem, implementací nebo klíčem, se mohou rozhodnout pro další vrstvu šifrování pomocí jiného šifrovacího algoritmu nebo režimu ve vrstvě infrastruktury pomocí šifrovacích klíčů spravovaných platformou. K použití dvojitého šifrování se vyžadují sady šifrování disků. Další informace najdete na adrese https://aka.ms/disks-doubleEncryption. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Servery MySQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování zbývajících serverů MySQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | AuditIfNotExists, zakázáno | 1.0.4 |
| Disky s operačním systémem a datovými disky by měly být šifrované pomocí klíče spravovaného zákazníkem. | Pomocí klíčů spravovaných zákazníkem můžete spravovat šifrování zbývajícího obsahu spravovaných disků. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných platformou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/disks-cmk. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Servery PostgreSQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování zbývajících serverů PostgreSQL použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. | AuditIfNotExists, zakázáno | 1.0.4 |
| Omezení přístupu k privátním klíčům | CMA_0445 – Omezení přístupu k privátním klíčům | Ručně, zakázáno | 1.1.0 |
| Uložené dotazy ve službě Azure Monitor by se měly ukládat do účtu úložiště zákazníka pro šifrování protokolů. | Propojte účet úložiště s pracovním prostorem služby Log Analytics a chraňte uložené dotazy pomocí šifrování účtu úložiště. Klíče spravované zákazníkem se běžně vyžadují ke splnění dodržování právních předpisů a k větší kontrole přístupu k uloženým dotazům ve službě Azure Monitor. Další podrobnosti o výše uvedených tématech najdete v tématu https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Obory názvů Service Bus Premium by měly pro šifrování používat klíč spravovaný zákazníkem. | Azure Service Bus podporuje možnost šifrování neaktivních uložených dat pomocí klíčů spravovaných Microsoftem (výchozí) nebo klíčů spravovaných zákazníkem. Volba šifrování dat pomocí klíčů spravovaných zákazníkem umožňuje přiřadit, otočit, zakázat a odvolat přístup ke klíčům, které bude Service Bus používat k šifrování dat ve vašem oboru názvů. Všimněte si, že Service Bus podporuje pouze šifrování pomocí klíčů spravovaných zákazníkem pro obory názvů Premium. | Audit, zakázáno | 1.0.0 |
| Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Obory šifrování účtu úložiště by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních rozsahů šifrování účtu úložiště použijte klíče spravované zákazníkem. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče trezoru klíčů Azure vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o oborech šifrování účtu úložiště najdete na adrese https://aka.ms/encryption-scopes-overview. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem. | Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, zakázáno | 1.0.3 |
Používejte kryptografii ověřenou pomocí FIPS, pokud se používá k ochraně důvěrnosti CUI.
ID: NIST SP 800-171 R2 3.13.11 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování kryptografického použití | CMA_0120 – Definování kryptografického použití | Ručně, zakázáno | 1.1.0 |
Zakázání vzdálené aktivace výpočetních zařízení pro spolupráci a uvedení zařízení, která se používají uživatelům na zařízení
ID: NIST SP 800-171 R2 3.13.12 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Explicitní upozornění na používání výpočetních zařízení pro spolupráci | CMA_C1649 – explicitně upozorňovat použití výpočetních zařízení pro spolupráci | Ručně, zakázáno | 1.1.1 |
| Zakázání vzdálené aktivace výpočetních zařízení pro spolupráci | CMA_C1648 – Zákaz vzdálené aktivace výpočetních zařízení pro spolupráci | Ručně, zakázáno | 1.1.0 |
Řízení a monitorování používání mobilního kódu
ID: NIST SP 800-171 R2 3.13.13 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace, monitorování a řízení používání technologií mobilního kódu | CMA_C1653 – Autorizace, monitorování a řízení používání technologií mobilního kódu | Ručně, zakázáno | 1.1.0 |
| Definování přijatelných a nepřijatelných technologií mobilního kódu | CMA_C1651 – Definování přijatelných a nepřijatelných technologií mobilního kódu | Ručně, zakázáno | 1.1.0 |
| Stanovení omezení použití pro technologie mobilního kódu | CMA_C1652 – Stanovení omezení použití pro technologie mobilního kódu | Ručně, zakázáno | 1.1.0 |
Řízení a monitorování používání technologií VoIP (Voice over Internet Protocol).
ID: NIST SP 800-171 R2 3.13.14 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace, monitorování a řízení voip | CMA_0025 – Autorizace, monitorování a řízení voip | Ručně, zakázáno | 1.1.0 |
| Stanovení omezení využití voip | CMA_0280 – Vytvoření omezení využití voip | Ručně, zakázáno | 1.1.0 |
Chraňte pravost komunikačních relací.
ID: NIST SP 800-171 R2 3.13.15 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | Ručně, zakázáno | 1.1.0 |
| Vynucení náhodných jedinečných identifikátorů relace | CMA_0247 – Vynucování náhodných jedinečných identifikátorů relací | Ručně, zakázáno | 1.1.0 |
Ochrana důvěrnosti CUI v klidovém stavu.
ID: NIST SP 800-171 R2 3.13.16 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba App Service Environment by měla mít povolené interní šifrování. | Nastavení InternalEncryption na true zašifruje stránkovací soubor, pracovní disky a interní síťový provoz mezi front-endy a pracovními procesy v app Service Environment. Další informace najdete v https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptiontématu . | Audit, zakázáno | 1.0.1 |
| Proměnné účtu Automation by měly být šifrované. | Při ukládánícitlivýchch | Audit, Odepřít, Zakázáno | 1.1.0 |
| Úlohy Azure Data Boxu by měly povolit dvojité šifrování neaktivních uložených dat na zařízení. | Povolte druhou vrstvu softwarového šifrování neaktivních uložených dat v zařízení. Zařízení je již chráněno prostřednictvím 256bitového šifrování Advanced Encryption Standard pro neaktivní uložená data. Tato možnost přidá druhou vrstvu šifrování dat. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Clustery protokolů služby Azure Monitor by se měly vytvářet s povoleným šifrováním infrastruktury (dvojité šifrování). | Pokud chcete zajistit, aby bylo zabezpečené šifrování dat povolené na úrovni služby a na úrovni infrastruktury se dvěma různými šifrovacími algoritmy a dvěma různými klíči, použijte vyhrazený cluster Služby Azure Monitor. Tato možnost je ve výchozím nastavení povolena, pokud je podporována v oblasti, viz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Zařízení Azure Stack Edge by měla používat dvojité šifrování | Pokud chcete zabezpečit neaktivní uložená data na zařízení, ujistěte se, že jsou data dvakrát zašifrovaná, řídí se přístup k datům a po deaktivaci zařízení se data bezpečně vymažou z datových disků. Dvojité šifrování je použití dvou vrstev šifrování: 256bitové šifrování BitLockeru XTS-AES na datových svazcích a integrované šifrování pevných disků. Další informace najdete v dokumentaci k přehledu zabezpečení pro konkrétní zařízení Stack Edge. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Šifrování disků by mělo být povolené v Azure Data Exploreru. | Povolení šifrování disků pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| V Azure Data Exploreru by se mělo povolit dvojité šifrování. | Povolení dvojitého šifrování pomáhá chránit a chránit vaše data, aby splňovala závazky organizace týkající se zabezpečení a dodržování předpisů. Pokud je povolené dvojité šifrování, data v účtu úložiště se šifrují dvakrát, jednou na úrovni služby a jednou na úrovni infrastruktury pomocí dvou různých šifrovacích algoritmů a dvou různých klíčů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Vytvoření postupu správy úniku dat | CMA_0255 – Vytvoření postupu správy úniku dat | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Pro servery Azure Database for MySQL by mělo být povolené šifrování infrastruktury. | Povolte šifrování infrastruktury pro servery Azure Database for MySQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilním se standardem FIPS 140-2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Pro servery Azure Database for PostgreSQL by mělo být povolené šifrování infrastruktury. | Povolte šifrování infrastruktury pro servery Azure Database for PostgreSQL, abyste měli vyšší úroveň jistoty, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, neaktivní uložená data se šifrují dvakrát pomocí klíčů spravovaných microsoftem kompatibilními se standardem FIPS 140-2. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana speciálních informací | CMA_0409 – Ochrana speciálních informací | Ručně, zakázáno | 1.1.0 |
| Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. | Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty úložiště by měly mít šifrování infrastruktury. | Povolte šifrování infrastruktury pro zajištění vyšší úrovně záruky, že jsou data zabezpečená. Pokud je povolené šifrování infrastruktury, data v účtu úložiště se šifrují dvakrát. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Dočasné disky a mezipaměť pro fondy uzlů agenta v clusterech Azure Kubernetes Service by měly být šifrované na hostiteli. | Kvůli zvýšení zabezpečení dat by se neaktivní uložená data uložená na hostiteli virtuálních počítačů azure Kubernetes Service šifrovala neaktivní uložená data. Jedná se o běžný požadavek v mnoha regulačních a oborových standardech dodržování předpisů. | Audit, Odepřít, Zakázáno | 1.0.1 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
| Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. | Šifrování na hostiteli slouží k získání kompletního šifrování pro virtuální počítač a data škálovací sady virtuálních počítačů. Šifrování v hostiteli umožňuje šifrování neaktivních uložených dat pro dočasné disky a mezipaměti disku s operačním systémem a daty. Dočasné a dočasné disky s operačním systémem se šifrují pomocí klíčů spravovaných platformou, když je povolené šifrování v hostiteli. Mezipaměti disku s operačním systémem a datovými disky se šifrují v klidovém stavu pomocí klíče spravovaného zákazníkem nebo spravovaného platformou v závislosti na typu šifrování vybraném na disku. Další informace najdete na adrese https://aka.ms/vm-hbe. | Audit, Odepřít, Zakázáno | 1.0.0 |
Používejte architektonické návrhy, techniky vývoje softwaru a zásady přípravy systémů, které podporují efektivní zabezpečení informací v rámci organizačních systémů.
ID: NIST SP 800-171 R2 3.13.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služby API Management by měly používat virtuální síť. | Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.1 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Rozhraní Azure API for FHIR by mělo používat privátní propojení. | Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. | Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Služba Azure Web PubSub by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, zakázáno | 1.0.0 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
Oddělte uživatelské funkce od funkcí správy systému.
ID: NIST SP 800-171 R2 3.13.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Autorizace vzdáleného přístupu | CMA_0024 – Autorizace vzdáleného přístupu | Ručně, zakázáno | 1.1.0 |
| Samostatné funkce správy uživatelských a informačních systémů | CMA_0493 – Samostatné funkce správy uživatelských a informačních systémů | Ručně, zakázáno | 1.1.0 |
| Použití vyhrazených počítačů pro úlohy správy | CMA_0527 – Použití vyhrazených počítačů pro úlohy správy | Ručně, zakázáno | 1.1.0 |
Implementujte podsítě pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí.
ID: NIST SP 800-171 R2 3.13.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Azure Cognitive Search by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Cognitive Search se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, zakázáno | 1.0.1 – zastaralé |
| [Zastaralé]: Služby Cognitive Services by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Cognitive Services snížíte potenciál úniku dat. Další informace o privátních propojeních najdete tady: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, zakázáno | 3.0.1 – zastaralé |
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Služby API Management by měly používat virtuální síť. | Nasazení služby Azure Virtual Network poskytuje rozšířené zabezpečení, izolaci a umožňuje umístit službu API Management do ne internetu směrovatelné sítě, ke které řídíte přístup. Tyto sítě je pak možné připojit k místním sítím pomocí různých technologií VPN, které umožňují přístup k back-endovým službám v síti nebo v místním prostředí. Portál pro vývojáře a brána rozhraní API je možné nakonfigurovat tak, aby byly přístupné buď z internetu, nebo jenom ve virtuální síti. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Konfigurace aplikace by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na instance konfigurace aplikace místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, zakázáno | 1.0.2 |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.1 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Rozhraní Azure API for FHIR by mělo používat privátní propojení. | Rozhraní Azure API for FHIR by mělo mít alespoň jedno schválené připojení privátního koncového bodu. Klienti ve virtuální síti můžou bezpečně přistupovat k prostředkům, které mají připojení privátního koncového bodu prostřednictvím privátních propojení. Další informace najdete tady: https://aka.ms/fhir-privatelink. | Audit, zakázáno | 1.0.0 |
| Azure Cache for Redis by měl používat privátní propojení | Privátní koncové body umožňují připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Mapováním privátních koncových bodů na instance Azure Cache for Redis se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Azure Cognitive Search by měla používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným cenovým úrovním služby Azure Cognitive Search umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na Search se sníží riziko úniku dat. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. | Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Azure Data Factory by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do služby Azure Data Factory se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, zakázáno | 1.0.0 |
| Domény Služby Azure Event Grid by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na doménu Služby Event Grid místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Témata služby Azure Event Grid by měla používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na téma Event Gridu místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/privateendpoints. | Audit, zakázáno | 1.0.2 |
| Synchronizace souborů Azure by měl používat privátní propojení | Vytvoření privátního koncového bodu pro uvedený prostředek služby synchronizace úložiště umožňuje adresovat prostředek služby synchronizace úložiště z privátního adresního prostoru IP sítě vaší organizace, a ne prostřednictvím veřejného koncového bodu přístupného z internetu. Vytvoření privátního koncového bodu sám o sobě nezakážuje veřejný koncový bod. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Služby Azure Key Vault by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na trezor klíčů můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Pracovní prostory služby Azure Machine Learning by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovních prostorů Služby Azure Machine Learning se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, zakázáno | 1.0.0 |
| Obory názvů služby Azure Service Bus by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů služby Service Bus se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Azure SignalR by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na prostředek služby Azure SignalR místo celé služby snížíte rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/asrs/privatelink. | Audit, zakázáno | 1.0.0 |
| Pracovní prostory Azure Synapse by měly používat private link. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů do pracovního prostoru Azure Synapse se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, zakázáno | 1.0.1 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Služba Azure Web PubSub by měla používat privátní propojení. | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu Azure Web PubSub Můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/awps/privatelink. | Audit, zakázáno | 1.0.0 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| Registry kontejnerů by měly používat privátní propojení. | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma private link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na vaše registry kontejnerů místo celé služby budete také chráněni před riziky úniku dat. Další informace najdete tady: https://aka.ms/acr/private-link. | Audit, zakázáno | 1.0.1 |
| Účty Cosmos DB by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na účet CosmosDB se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, zakázáno | 1.0.0 |
| Prostředky přístupu k diskům by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, zakázáno | 1.0.0 |
| Obory názvů centra událostí by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na obory názvů centra událostí se sníží riziko úniku dat. Další informace najdete tady: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, zakázáno | 1.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Instance služby Zřizování zařízení ioT Hub by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu zřizování zařízení IoT Hubu se sníží riziko úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/iotdpsvnet. | Audit, zakázáno | 1.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Připojení privátního koncového bodu ve službě Azure SQL Database by měla být povolená. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure SQL Database. | Audit, zakázáno | 1.1.0 |
| Privátní koncový bod by měl být povolený pro servery MariaDB. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MariaDB. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery MySQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for MySQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Privátní koncový bod by měl být povolený pro servery PostgreSQL. | Připojení privátního koncového bodu vynucují zabezpečenou komunikaci povolením privátního připojení ke službě Azure Database for PostgreSQL. Nakonfigurujte připojení privátního koncového bodu tak, aby umožňovalo přístup k provozu přicházejícímu jenom ze známých sítí a zabránilo přístupu ze všech ostatních IP adres, včetně v Rámci Azure. | AuditIfNotExists, zakázáno | 1.0.2 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Účty úložiště by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, zakázáno | 2.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Šablony Image Builderu virtuálních počítačů by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátníchkoncovýchch Další informace o privátních propojeních najdete tady: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Zakázáno, Odepřít | 1.1.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou).
ID: NIST SP 800-171 R2 3.13.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Veřejný přístup k účtu úložiště by se měl nepovolit. | Anonymní veřejný přístup pro čtení ke kontejnerům a objektům blob ve službě Azure Storage představuje pohodlný způsob sdílení dat, ale může představovat bezpečnostní rizika. Aby se zabránilo porušení zabezpečení dat způsobeným nežádoucím anonymním přístupem, Microsoft doporučuje zabránit veřejnému přístupu k účtu úložiště, pokud to váš scénář nevyžaduje. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 3.1.0-preview |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Autorizované rozsahy IP adres by se měly definovat ve službě Kubernetes Services. | Omezte přístup k rozhraní API pro správu služby Kubernetes tím, že udělíte přístup rozhraní API pouze k IP adresám v konkrétních rozsazích. Doporučujeme omezit přístup k autorizovaným rozsahům IP adres, aby ke clusteru měli přístup jenom aplikace z povolených sítí. | Audit, zakázáno | 2.0.1 |
| Prostředky azure AI Services by měly omezit síťový přístup. | Omezením síťového přístupu zajistíte, že k této službě budou mít přístup jenom povolené sítě. Toho lze dosáhnout konfigurací pravidel sítě tak, aby přístup ke službě Azure AI měly přístup jenom aplikace z povolených sítí. | Audit, Odepřít, Zakázáno | 3.2.0 |
| Služba Azure Cognitive Search by měla zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby vaše služba Azure Cognitive Search nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení vaší Search. Další informace najdete tady: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Účty služby Azure Cosmos DB by měly mít pravidla brány firewall. | Pravidla brány firewall by se měla definovat v účtech služby Azure Cosmos DB, aby se zabránilo přenosu z neautorizovaných zdrojů. Účty, které mají definované alespoň jedno pravidlo PROTOKOLU IP s povoleným filtrem virtuální sítě, se považují za vyhovující. Účty, které zakazují veřejný přístup, se také považují za vyhovující. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Služba Azure Key Vault by měla mít povolenou bránu firewall. | Povolte bránu firewall trezoru klíčů, aby trezor klíčů nebyl ve výchozím nastavení přístupný pro žádné veřejné IP adresy. Volitelně můžete nakonfigurovat konkrétní rozsahy IP adres pro omezení přístupu k těmto sítím. Další informace najdete tady: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Odepřít, Zakázáno | 3.2.1 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Registry kontejnerů by neměly umožňovat neomezený síťový přístup | Registry kontejnerů Azure ve výchozím nastavení přijímají připojení přes internet z hostitelů v libovolné síti. Pokud chcete chránit registry před potenciálními hrozbami, povolte přístup jenom z konkrétních privátních koncových bodů, veřejných IP adres nebo rozsahů adres. Pokud váš registr nemá nakonfigurovaná pravidla sítě, zobrazí se v prostředcích, které nejsou v pořádku. Další informace o pravidlech sítě služby Container Registry najdete tady: https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/privatelink a .https://aka.ms/acr/vnet | Audit, Odepřít, Zakázáno | 2.0.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Přístup k veřejné síti ve službě Azure SQL Database by měl být zakázaný. | Zakázání vlastnosti přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje přístup k azure SQL Database pouze z privátního koncového bodu. Tato konfigurace odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na protokolu IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Přístup k veřejné síti by měl být pro servery MariaDB zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k vaší službě Azure Database for MariaDB bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery MySQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k azure Database for MySQL bude možné přistupovat jenom z privátního koncového bodu. Tato konfigurace přísně zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a odmítne všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Přístup k veřejné síti by měl být pro servery PostgreSQL zakázaný. | Zakažte vlastnost přístupu k veřejné síti, abyste zlepšili zabezpečení a zajistili, že k Azure Database for PostgreSQL bude možné přistupovat pouze z privátního koncového bodu. Tato konfigurace zakáže přístup z jakéhokoli veřejného adresního prostoru mimo rozsah IP adres Azure a zakáže všechna přihlášení, která odpovídají pravidlům brány firewall založeným na PROTOKOLU IP nebo virtuální síti. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Účty úložiště by měly omezit přístup k síti | Přístup k síti k účtům úložiště by měl být omezený. Nakonfigurujte pravidla sítě, aby k účtu úložiště mohly přistupovat jenom aplikace z povolených sítí. Pokud chcete povolit připojení z konkrétního internetu nebo místních klientů, je možné udělit přístup k provozu z konkrétních virtuálních sítí Azure nebo k rozsahům veřejných internetových IP adres. | Audit, Odepřít, Zakázáno | 1.1.1 |
| Účty úložiště by měly omezit přístup k síti pomocí pravidel virtuální sítě. | Chraňte své účty úložiště před potenciálními hrozbami pomocí pravidel virtuální sítě jako upřednostňované metody místo filtrování založeného na PROTOKOLU IP. Zakázáním filtrování na základě IP adres zabráníte veřejným IP adresám v přístupu k účtům úložiště. | Audit, Odepřít, Zakázáno | 1.0.1 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
Zabráněte vzdáleným zařízením v souběžném navazování neschválených připojení s organizačními systémy a komunikaci prostřednictvím jiného připojení k prostředkům v externích sítích (tj. dělené tunelování).
ID: NIST SP 800-171 R2 3.13.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zabránění rozdělení tunelového propojení pro vzdálená zařízení | CMA_C1632 – Zabránění rozdělení tunelového propojení pro vzdálená zařízení | Ručně, zakázáno | 1.1.0 |
Implementujte kryptografické mechanismy, které brání neoprávněnému zpřístupnění CUI během přenosu, pokud nejsou jinak chráněny alternativními fyzickými bezpečnostními opatřeními.
ID: NIST SP 800-171 R2 3.13.8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace app Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Clustery Azure HDInsight by měly k šifrování komunikace mezi uzly clusteru Azure HDInsight používat šifrování během přenosu. | Během přenosu mezi uzly clusteru Azure HDInsight je možné manipulovat s daty. Povolení šifrování při přenosu řeší problémy se zneužitím a manipulací během tohoto přenosu. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | Ručně, zakázáno | 1.1.0 |
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.2.0 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana hesel pomocí šifrování | CMA_0408 – Ochrana hesel pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 4.1.1 |
Ukončete síťová připojení přidružená k komunikačním relacím na konci relací nebo po definované době nečinnosti.
ID: NIST SP 800-171 R2 3.13.9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Opětovné ověření nebo ukončení uživatelské relace | CMA_0421 – Opětovné ověření nebo ukončení uživatelské relace | Ručně, zakázáno | 1.1.0 |
Integrita systému a informací
Umožňuje včas identifikovat, hlásit a opravit chyby systému.
ID: NIST SP 800-171 R2 3.14.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | Audituje virtuální počítače, aby zjistil, jestli používají podporované řešení posouzení ohrožení zabezpečení. Základní součástí každého programu kybernetického rizika a zabezpečení je identifikace a analýza ohrožení zabezpečení. Cenová úroveň Azure Security Center úrovně Standard zahrnuje kontrolu ohrožení zabezpečení pro vaše virtuální počítače bez dalších poplatků. Security Center navíc může tento nástroj automaticky nasadit za vás. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace app Service by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Aplikace funkcí by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Začlenění nápravy chyb do správy konfigurace | CMA_C1671 – Začlenění nápravy chyb do správy konfigurace | Ručně, zakázáno | 1.1.0 |
| Služba Kubernetes Services by se měla upgradovat na verzi Kubernetes, která není zranitelná. | Upgradujte cluster Služby Kubernetes na novější verzi Kubernetes, abyste chránili před známými ohroženími zabezpečení ve vaší aktuální verzi Kubernetes. Chyba zabezpečení CVE-2019-9946 byla opravena ve verzi Kubernetes 1.11.9+, 1.12.7+, 1.13.5 a 1.14.0+ | Audit, zakázáno | 1.0.2 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
| Databáze SQL by měly mít vyřešené zjištění ohrožení zabezpečení | Monitorujte výsledky kontroly posouzení ohrožení zabezpečení a doporučení, jak napravit ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 4.1.0 |
| Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | Servery, které nesplňují nakonfigurovaný směrný plán, budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 2.0.0 |
Zajistěte ochranu před škodlivým kódem v určených umístěních v rámci organizačních systémů.
ID: NIST SP 800-171 R2 3.14.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Správa bran | CMA_0363 – Správa bran | Ručně, zakázáno | 1.1.0 |
| Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | Tyto zásady auditují všechny virtuální počítače s Windows, které nejsou nakonfigurované s automatickou aktualizací podpisů ochrany Antimalwaru společnosti Microsoft. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows | Tyto zásady auditují všechny virtuální počítače s Windows Serverem bez nasazených rozšíření Microsoft IaaSAntimalware. | AuditIfNotExists, zakázáno | 1.1.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola detekce malwaru | CMA_0475 – týdenní kontrola zpráv o detekcích malwaru | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola stavu ochrany před hrozbami | CMA_0479 – týdenní kontrola stavu ochrany před hrozbami | Ručně, zakázáno | 1.1.0 |
| Aktualizace definic antivirového softwaru | CMA_0517 – Aktualizace definic antivirové ochrany | Ručně, zakázáno | 1.1.0 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 2.0.0 |
Monitorujte výstrahy zabezpečení systému a rady a v reakci na ně proveďte akce.
ID: NIST SP 800-171 R2 3.14.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Šíření výstrah zabezpečení pracovníkům | CMA_C1705 – Šíření výstrah zabezpečení pracovníkům | Ručně, zakázáno | 1.1.0 |
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.2.0 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.1.0 |
| Vytvoření programu analýzy hrozeb | CMA_0260 – Vytvoření programu analýzy hrozeb | Ručně, zakázáno | 1.1.0 |
| Implementace direktiv zabezpečení | CMA_C1706 – Implementace direktiv zabezpečení | Ručně, zakázáno | 1.1.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Aktualizujte mechanismy ochrany škodlivého kódu, pokud jsou k dispozici nové verze.
ID: NIST SP 800-171 R2 3.14.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Správa bran | CMA_0363 – Správa bran | Ručně, zakázáno | 1.1.0 |
| Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | Tyto zásady auditují všechny virtuální počítače s Windows, které nejsou nakonfigurované s automatickou aktualizací podpisů ochrany Antimalwaru společnosti Microsoft. | AuditIfNotExists, zakázáno | 1.0.0 |
| Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows | Tyto zásady auditují všechny virtuální počítače s Windows Serverem bez nasazených rozšíření Microsoft IaaSAntimalware. | AuditIfNotExists, zakázáno | 1.1.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola detekce malwaru | CMA_0475 – týdenní kontrola zpráv o detekcích malwaru | Ručně, zakázáno | 1.1.0 |
| Aktualizace definic antivirového softwaru | CMA_0517 – Aktualizace definic antivirové ochrany | Ručně, zakázáno | 1.1.0 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 2.0.0 |
Proveďte pravidelné kontroly organizačních systémů a kontroly souborů z externích zdrojů v reálném čase, protože se stahují, otevírají nebo spouštějí.
ID: NIST SP 800-171 R2 3.14.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | Tyto zásady auditují všechny virtuální počítače s Windows, které nejsou nakonfigurované s automatickou aktualizací podpisů ochrany Antimalwaru společnosti Microsoft. | AuditIfNotExists, zakázáno | 1.0.0 |
| Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows | Tyto zásady auditují všechny virtuální počítače s Windows Serverem bez nasazených rozšíření Microsoft IaaSAntimalware. | AuditIfNotExists, zakázáno | 1.1.0 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 2.0.0 |
Monitorujte organizační systémy, včetně příchozího a odchozího komunikačního provozu, a detekujte útoky a indikátory potenciálních útoků.
ID: NIST SP 800-171 R2 3.14.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 6.0.0-preview |
| [Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. | Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc | Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Zjištění síťových služeb, které nebyly autorizované nebo schválené | CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené | Ručně, zakázáno | 1.1.0 |
| Zjištění indikátorů ohrožení zabezpečení | CMA_C1702 – objevte všechny indikátory ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zdokumentovat operace zabezpečení | CMA_0202 – Zdokumentovat operace zabezpečení | Ručně, zakázáno | 1.1.0 |
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.2.0 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.1.0 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
| Zapnutí senzorů pro řešení zabezpečení koncových bodů | CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů | Ručně, zakázáno | 1.1.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Identifikace neoprávněného použití organizačních systémů
ID: NIST SP 800-171 R2 3.14.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Veškerý internetový provoz by se měl směrovat přes nasazenou bránu Azure Firewall. | Služba Azure Security Center zjistila, že některé z vašich podsítí nejsou chráněné bránou firewall nové generace. Ochrana podsítí před potenciálními hrozbami omezením přístupu k nim pomocí služby Azure Firewall nebo podporované brány firewall nové generace | AuditIfNotExists, zakázáno | 3.0.0-preview |
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 6.0.0-preview |
| [Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. | Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc | Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Povědomí a školení
Zajistěte, aby manažeři, správci systémů a uživatelé organizačních systémů věděli o bezpečnostních rizicích spojených s jejich aktivitami a o příslušných zásadách, standardech a postupech souvisejících se zabezpečením těchto systémů.
ID: NIST SP 800-171 R2 3.2.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zajištění pravidelného školení pro zvyšování povědomí o zabezpečení | CMA_C1091 – zajištění pravidelného školení pro zvyšování povědomí o zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zajištění školení zabezpečení pro nové uživatele | CMA_0419 – poskytování školení zabezpečení pro nové uživatele | Ručně, zakázáno | 1.1.0 |
Ujistěte se, že jsou pracovníci vyškoleni tak, aby prováděli své přiřazené povinnosti a povinnosti související se zabezpečením informací.
ID: NIST SP 800-171 R2 3.2.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zajištění pravidelného trénování zabezpečení na základě rolí | CMA_C1095 – zajištění pravidelného trénování zabezpečení na základě rolí | Ručně, zakázáno | 1.1.0 |
| Zajištění školení zabezpečení před poskytnutím přístupu | CMA_0418 – zajištění školení zabezpečení před poskytnutím přístupu | Ručně, zakázáno | 1.1.0 |
Poskytněte školení o povědomí o zabezpečení týkající se rozpoznávání a vytváření sestav potenciálních indikátorů vnitřní hrozby.
ID: NIST SP 800-171 R2 3.2.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace programu insider threat | CMA_C1751 – Implementace programu insider threat | Ručně, zakázáno | 1.1.0 |
| Zajištění školení o povědomí o zabezpečení pro vnitřní hrozby | CMA_0417 – poskytování školení pro zvyšování povědomí o zabezpečení pro vnitřní hrozby | Ručně, zakázáno | 1.1.0 |
Audit a odpovědnost
Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k zajištění monitorování, analýzy, vyšetřování a hlášení protiprávních nebo neoprávněných systémových aktivit
ID: NIST SP 800-171 R2 3.3.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 6.0.0-preview |
| [Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. | Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc | Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Dodržování definovaných období uchovávání | CMA_0004 – dodržování definovaných období uchovávání | Ručně, zakázáno | 1.1.0 |
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Konfigurace možností auditu Azure | CMA_C1108 – Konfigurace možností auditu Azure | Ručně, zakázáno | 1.1.1 |
| Korelace záznamů auditu | CMA_0087 – Korelace záznamů auditu | Ručně, zakázáno | 1.1.0 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na kontrolu auditu a vytváření sestav | CMA_0277 – Vytvoření požadavků na kontrolu auditu a vytváření sestav | Ručně, zakázáno | 1.1.0 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.3 |
| Integrace kontroly auditu, analýzy a generování sestav | CMA_0339 – Integrace kontroly auditu, analýzy a generování sestav | Ručně, zakázáno | 1.1.0 |
| Integrace zabezpečení cloudových aplikací se siem | CMA_0340 – Integrace zabezpečení cloudových aplikací se siem | Ručně, zakázáno | 1.1.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v účtech Batch by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v centru událostí by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě IoT Hub by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 3.1.0 |
| Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v Logic Apps by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.1.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Service Bus by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Zachování zásad a postupů zabezpečení | CMA_0454 – Zachování zásad a postupů zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zachování ukončených uživatelských dat | CMA_0455 – Zachování ukončených uživatelských dat | Ručně, zakázáno | 1.1.0 |
| Kontrola protokolů zřizování účtů | CMA_0460 – Kontrola protokolů zřizování účtů | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola přiřazení správců | CMA_0461 – týdenní kontrola přiřazení správců | Ručně, zakázáno | 1.1.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
| Přehled sestavy cloudových identit | CMA_0468 – Přehled sestav cloudových identit | Ručně, zakázáno | 1.1.0 |
| Kontrola událostí přístupu k řízeným složkům | CMA_0471 – Kontrola kontrolovaných událostí přístupu ke složce | Ručně, zakázáno | 1.1.0 |
| Kontrola aktivity souborů a složek | CMA_0473 – Kontrola aktivity souborů a složek | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola změn skupin rolí | CMA_0476 – týdenní kontrola změn skupin rolí | Ručně, zakázáno | 1.1.0 |
| SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Serveru na cíl účtu úložiště na nejméně 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů. | AuditIfNotExists, zakázáno | 3.0.0 |
| Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | Tato zásada audituje všechny škálovací sady virtuálních počítačů s Windows/Linuxem, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1 |
| Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. | Hlásí virtuální počítače jako nevyhovující, pokud se nepřihlašují do pracovního prostoru služby Log Analytics zadaného v přiřazení zásad nebo iniciativ. | AuditIfNotExists, zakázáno | 1.1.0 |
| Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | Tato zásada audituje všechny virtuální počítače s Windows nebo Linuxem, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Zajistěte, aby akce jednotlivých systémových uživatelů byly jednoznačně trasovány těmto uživatelům, aby mohly být zodpovědné za jejich akce.
ID: NIST SP 800-171 R2 3.3.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 6.0.0-preview |
| [Preview]: Rozšíření Log Analytics by mělo být nainstalované na počítačích Azure Arc s Linuxem. | Tato zásada audituje počítače s Linuxem Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Rozšíření Log Analytics by se mělo nainstalovat na počítače s Windows Azure Arc | Tyto zásady auditují počítače s Windows Azure Arc, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | Security Center používá agenta Závislost Microsoftu ke shromažďování dat síťového provozu z virtuálních počítačů Azure, aby bylo možné povolit pokročilé funkce ochrany sítě, jako je vizualizace provozu na mapě sítě, doporučení k posílení zabezpečení sítě a konkrétní síťové hrozby. | AuditIfNotExists, zakázáno | 1.0.2-preview |
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
| Auditování na SQL Serveru by mělo být povolené. | Auditování sql Serveru by mělo být povolené ke sledování databázových aktivit ve všech databázích na serveru a jejich uložení do protokolu auditu. | AuditIfNotExists, zakázáno | 2.0.0 |
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na elektronický podpis a certifikát | CMA_0271 – Stanovení požadavků na elektronický podpis a certifikát | Ručně, zakázáno | 1.1.0 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.3 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Protokoly prostředků ve službě Azure Data Lake Store by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Azure Stream Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v účtech Batch by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Data Lake Analytics by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v centru událostí by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě IoT Hub by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 3.1.0 |
| Protokoly prostředků ve službě Key Vault by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely vyšetřování, když dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků v Logic Apps by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.1.0 |
| Protokoly prostředků v Search by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| Protokoly prostředků ve službě Service Bus by měly být povolené. | Audit povolení protokolů prostředků To vám umožní znovu vytvořit trasu aktivit, která se použije pro účely šetření; pokud dojde k incidentu zabezpečení nebo když dojde k ohrožení vaší sítě | AuditIfNotExists, zakázáno | 5.0.0 |
| SERVERY SQL s auditem do cíle účtu úložiště by měly být nakonfigurované s 90denním uchováváním nebo vyššími | Pro účely vyšetřování incidentů doporučujeme nastavit uchovávání dat pro auditování SQL Serveru na cíl účtu úložiště na nejméně 90 dnů. Ověřte, že splňujete potřebná pravidla uchovávání informací pro oblasti, ve kterých pracujete. To se někdy vyžaduje pro dodržování regulačních standardů. | AuditIfNotExists, zakázáno | 3.0.0 |
| Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | Tato zásada audituje všechny škálovací sady virtuálních počítačů s Windows/Linuxem, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1 |
| Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. | Hlásí virtuální počítače jako nevyhovující, pokud se nepřihlašují do pracovního prostoru služby Log Analytics zadaného v přiřazení zásad nebo iniciativ. | AuditIfNotExists, zakázáno | 1.1.0 |
| Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | Tato zásada audituje všechny virtuální počítače s Windows nebo Linuxem, pokud není nainstalované rozšíření Log Analytics. | AuditIfNotExists, zakázáno | 1.0.1 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
Zkontrolujte a aktualizujte protokolované události.
ID: NIST SP 800-171 R2 3.3.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace událostí definovaných v AU-02 | CMA_C1106 – Kontrola a aktualizace událostí definovaných v AU-02 | Ručně, zakázáno | 1.1.0 |
Výstraha v případě selhání procesu protokolování auditu
ID: NIST SP 800-171 R2 3.3.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Řízení a monitorování aktivit zpracování auditu | CMA_0289 – Řízení a monitorování aktivit zpracování auditu | Ručně, zakázáno | 1.1.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
| Poskytování výstrah v reálném čase pro selhání událostí auditu | CMA_C1114 – poskytování výstrah v reálném čase pro selhání událostí auditu | Ručně, zakázáno | 1.1.0 |
Korelujte procesy kontroly, analýzy a vykazování záznamů auditu za účelem vyšetřování a reakce na informace o protiprávních, neoprávněných, podezřelých nebo neobvyklých aktivitách.
ID: NIST SP 800-171 R2 3.3.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Služba Azure Defender for App Service by měla být povolená. | Azure Defender for App Service využívá škálování cloudu a viditelnost, kterou Azure má jako poskytovatel cloudu, k monitorování běžných útoků webových aplikací. | AuditIfNotExists, zakázáno | 1.0.3 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Služba Azure Defender for Key Vault by měla být povolená. | Azure Defender for Key Vault poskytuje další vrstvu ochrany a informací o zabezpečení tím, že detekuje neobvyklé a potenciálně škodlivé pokusy o přístup k účtům trezoru klíčů nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Na počítačích by se měl povolit Azure Defender pro SQL servery. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Korelace záznamů auditu | CMA_0087 – Korelace záznamů auditu | Ručně, zakázáno | 1.1.0 |
| Integrace analýzy záznamů auditu | CMA_C1120 – Integrace analýzy záznamů auditu | Ručně, zakázáno | 1.1.0 |
| Integrace zabezpečení cloudových aplikací se siem | CMA_0340 – Integrace zabezpečení cloudových aplikací se siem | Ručně, zakázáno | 1.1.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měl by být povolený Microsoft Defender pro úložiště. | Microsoft Defender for Storage detekuje potenciální hrozby pro vaše účty úložiště. Pomáhá zabránit třem hlavním dopadům na vaše data a úlohy: nahrání škodlivých souborů, exfiltrace citlivých dat a poškození dat. Nový plán Defenderu pro úložiště zahrnuje kontrolu malwaru a detekci citlivých dat. Tento plán také poskytuje předvídatelnou cenovou strukturu (na účet úložiště) pro kontrolu nad pokrytím a náklady. | AuditIfNotExists, zakázáno | 1.0.0 |
Zajistěte snížení počtu záznamů auditu a generování sestav pro podporu analýzy a generování sestav na vyžádání.
ID: NIST SP 800-171 R2 3.3.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Kompilace záznamů auditu do systémového auditu | CMA_C1140 – Kompilace záznamů auditu do celého systému auditu | Ručně, zakázáno | 1.1.0 |
| Určení auditovatelných událostí | CMA_0137 – Určení auditovatelných událostí | Ručně, zakázáno | 1.1.0 |
| Zajištění kontroly auditu, analýzy a vytváření sestav | CMA_C1124 – poskytování kontroly auditu, analýzy a vytváření sestav | Ručně, zakázáno | 1.1.0 |
| Poskytování možností zpracování záznamů auditu kontrolovaných zákazníkem | CMA_C1126 – poskytování možností zpracování záznamů auditu kontrolovaných zákazníkem | Ručně, zakázáno | 1.1.0 |
| Kontrola dat auditu | CMA_0466 – Kontrola dat auditu | Ručně, zakázáno | 1.1.0 |
Poskytuje systémovou funkci, která porovnává a synchronizuje interní systémové hodiny s autoritativním zdrojem pro generování časových razítek pro záznamy auditu.
ID: NIST SP 800-171 R2 3.3.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití systémových hodin pro záznamy auditu | CMA_0535 – Použití systémových hodin pro záznamy auditu | Ručně, zakázáno | 1.1.0 |
Chraňte informace o auditu a nástroje pro protokolování auditu před neoprávněným přístupem, úpravami a odstraněním.
ID: NIST SP 800-171 R2 3.3.8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Povolení duální nebo společné autorizace | CMA_0226 – Povolení duálního nebo společného autorizace | Ručně, zakázáno | 1.1.0 |
| Vytvoření zásad a postupů zálohování | CMA_0268 – Vytvoření zásad a postupů zálohování | Ručně, zakázáno | 1.1.0 |
| Zachování integrity systému auditu | CMA_C1133 – zachování integrity systému auditu | Ručně, zakázáno | 1.1.0 |
| Ochrana informací o auditu | CMA_0401 – Ochrana informací o auditu | Ručně, zakázáno | 1.1.0 |
Omezte správu funkcí protokolování auditu na podmnožinu privilegovaných uživatelů.
ID: NIST SP 800-171 R2 3.3.9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ochrana informací o auditu | CMA_0401 – Ochrana informací o auditu | Ručně, zakázáno | 1.1.0 |
Správa konfigurace
Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému.
ID: NIST SP 800-171 R2 3.4.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. K aplikaci budou mít přístup jenom klienti s platnými certifikáty. Tuto zásadu nahradila nová zásada se stejným názvem, protože Http 2.0 nepodporuje klientské certifikáty. | Audit, zakázáno | 3.1.0 zastaralé |
| Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. | Doplněk Azure Policy pro službu Kubernetes Service (AKS) rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby v clusterech použil centralizované a konzistentní zabezpečení vynucování ve velkém měřítku a bezpečnostní opatření. | Audit, zakázáno | 1.0.2 |
| Konfigurace akcí pro zařízení nedodržující předpisy | CMA_0062 – Konfigurace akcí pro zařízení nedodržující předpisy | Ručně, zakázáno | 1.1.0 |
| Vytvoření inventáře dat | CMA_0096 – Vytvoření inventáře dat | Ručně, zakázáno | 1.1.0 |
| Vývoj a údržba standardních konfigurací | CMA_0153 – Vývoj a údržba standardních konfigurací | Ručně, zakázáno | 1.1.0 |
| Vynucení nastavení konfigurace zabezpečení | CMA_0249 – Vynucení nastavení konfigurace zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vytvoření řídicí desky konfigurace | CMA_0254 – Vytvoření řídicí desky konfigurace | Ručně, zakázáno | 1.1.0 |
| Vytvoření a zdokumentování plánu správy konfigurace | CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace | Ručně, zakázáno | 1.1.0 |
| Vytvoření a údržba inventáře aktiv | CMA_0266 – Vytvoření a údržba inventáře prostředků | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Implementace automatizovaného nástroje pro správu konfigurace | CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace | Ručně, zakázáno | 1.1.0 |
| Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.3.0 |
| Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele | Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.2.0 |
| Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.3.0 |
| Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.3.0 |
| Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.2.0 |
| Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.2.0 |
| Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.2.0 |
| Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.2.0 |
| Udržovat záznamy o zpracování osobních údajů | CMA_0353 - Udržování záznamů o zpracování osobních údajů | Ručně, zakázáno | 1.1.0 |
| Zachování předchozích verzí standardních konfigurací | CMA_C1181 – Zachování předchozích verzí standardních konfigurací | Ručně, zakázáno | 1.1.0 |
| Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.0.0 |
Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech.
ID: NIST SP 800-171 R2 3.4.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. K aplikaci budou mít přístup jenom klienti s platnými certifikáty. Tuto zásadu nahradila nová zásada se stejným názvem, protože Http 2.0 nepodporuje klientské certifikáty. | Audit, zakázáno | 3.1.0 zastaralé |
| Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. | Doplněk Azure Policy pro službu Kubernetes Service (AKS) rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby v clusterech použil centralizované a konzistentní zabezpečení vynucování ve velkém měřítku a bezpečnostní opatření. | Audit, zakázáno | 1.0.2 |
| Vynucení nastavení konfigurace zabezpečení | CMA_0249 – Vynucení nastavení konfigurace zabezpečení | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Řízení dodržování předpisů poskytovatelů cloudových služeb | CMA_0290 – Řízení dodržování předpisů poskytovatelů cloudových služeb | Ručně, zakázáno | 1.1.0 |
| Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.3.0 |
| Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele | Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.2.0 |
| Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.3.0 |
| Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.3.0 |
| Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.2.0 |
| Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.2.0 |
| Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.2.0 |
| Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.2.0 |
| Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.2.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
| Zobrazení a konfigurace diagnostických dat systému | CMA_0544 – Zobrazení a konfigurace diagnostických dat systému | Ručně, zakázáno | 1.1.0 |
| Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 2.0.0 |
Sledujte, kontrolujte, schvalujte nebo neschvalujte a protokolujte změny v organizačních systémech.
ID: NIST SP 800-171 R2 3.4.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přiřazení zástupce pro zabezpečení informací pro změnu řízení | CMA_C1198 – přiřazení zástupce pro zabezpečení informací ke změně řízení | Ručně, zakázáno | 1.1.0 |
| Automatizace žádosti o schválení pro navrhované změny | CMA_C1192 – Automatizace žádosti o schválení navrhovaných změn | Ručně, zakázáno | 1.1.0 |
| Automatizace implementace schválených oznámení o změnách | CMA_C1196 – Automatizace implementace schválených oznámení o změnách | Ručně, zakázáno | 1.1.0 |
| Automatizace procesu do dokumentu implementovaných změn | CMA_C1195 – Automatizace procesu pro dokumentaci implementovaných změn | Ručně, zakázáno | 1.1.0 |
| Automatizace procesu zvýrazňování nerevidovaných návrhů změn | CMA_C1193 – Automatizace procesu zvýrazňování nerevidovaných návrhů změn | Ručně, zakázáno | 1.1.0 |
| Automatizace procesu, který zakáže implementaci neschválené změny | CMA_C1194 – Automatizace procesu, který zakáže implementaci neschválené změny | Ručně, zakázáno | 1.1.0 |
| Automatizace navrhovaných dokumentovaných změn | CMA_C1191 – Automatizace navrhovaných dokumentovaných změn | Ručně, zakázáno | 1.1.0 |
| Analýza dopadu na zabezpečení | CMA_0057 – Provedení analýzy dopadu na zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vývoj a údržba standardu správa ohrožení zabezpečení | CMA_0152 – vývoj a údržba standardu správa ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vytvoření strategie řízení rizik | CMA_0258 – Vytvoření strategie řízení rizik | Ručně, zakázáno | 1.1.0 |
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na správu konfigurace pro vývojáře | CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře | Ručně, zakázáno | 1.1.0 |
| Posouzení dopadu ochrany osobních údajů | CMA_0387 – provedení posouzení dopadu ochrany osobních údajů | Ručně, zakázáno | 1.1.0 |
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
| Provedení auditu pro řízení změn konfigurace | CMA_0390 – provedení auditu řízení změn konfigurace | Ručně, zakázáno | 1.1.0 |
Analyzujte dopad změn před implementací na zabezpečení.
ID: NIST SP 800-171 R2 3.4.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Analýza dopadu na zabezpečení | CMA_0057 – Provedení analýzy dopadu na zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vývoj a údržba standardu správa ohrožení zabezpečení | CMA_0152 – vývoj a údržba standardu správa ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vytvoření strategie řízení rizik | CMA_0258 – Vytvoření strategie řízení rizik | Ručně, zakázáno | 1.1.0 |
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na správu konfigurace pro vývojáře | CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře | Ručně, zakázáno | 1.1.0 |
| Posouzení dopadu ochrany osobních údajů | CMA_0387 – provedení posouzení dopadu ochrany osobních údajů | Ručně, zakázáno | 1.1.0 |
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
| Provedení auditu pro řízení změn konfigurace | CMA_0390 – provedení auditu řízení změn konfigurace | Ručně, zakázáno | 1.1.0 |
Definujte, dokumentujte, schvalujte a vynucujte omezení fyzického a logického přístupu spojená se změnami organizačních systémů.
ID: NIST SP 800-171 R2 3.4.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vynucení a audit omezení přístupu | CMA_C1203 – Vynucení a audit omezení přístupu | Ručně, zakázáno | 1.1.0 |
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
| Omezení oprávnění k provádění změn v produkčním prostředí | CMA_C1206 – Omezení oprávnění k provádění změn v produkčním prostředí | Ručně, zakázáno | 1.1.0 |
| Omezení neoprávněné instalace softwaru a firmwaru | CMA_C1205 – Omezení neoprávněné instalace softwaru a firmwaru | Ručně, zakázáno | 1.1.0 |
| Kontrola a opětovné posouzení oprávnění | CMA_C1207 – Kontrola a opětovné posouzení oprávnění | Ručně, zakázáno | 1.1.0 |
| Kontrola změn neautorizovaných změn | CMA_C1204 – Kontrola změn neautorizovaných změn | Ručně, zakázáno | 1.1.0 |
Použití principu nejnižší funkčnosti konfigurací organizačních systémů tak, aby poskytovaly pouze základní možnosti.
ID: NIST SP 800-171 R2 3.4.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
Identifikace a ověřování
Identifikujte systémové uživatele, procesy jménem uživatelů a zařízení.
ID: NIST SP 800-171 R2 3.5.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Přiřazení systémových identifikátorů | CMA_0018 – Přiřazení systémových identifikátorů | Ručně, zakázáno | 1.1.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Vynucení jedinečnosti uživatele | CMA_0250 – vynucování jedinečnosti uživatele | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Vyžadování použití jednotlivých ověřovacích prostředků | CMA_C1305 – Vyžadování použití jednotlivých ověřovacích prostředků | Ručně, zakázáno | 1.1.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
| Podpora přihlašovacích údajů pro osobní ověření vydaných právními orgány | CMA_0507 – Podpora osobních ověřovacích přihlašovacích údajů vydaných právními orgány | Ručně, zakázáno | 1.1.0 |
Ukládat a přenášet pouze kryptograficky chráněná hesla.
ID: NIST SP 800-171 R2 3.5.10 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644 | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování | AuditIfNotExists, zakázáno | 2.0.0 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Ujistěte se, že autorizovaní uživatelé chrání poskytnuté ověřovací objekty. | CMA_C1339 – zajistěte, aby autorizovaní uživatelé chránili poskytnuté ověřovací objekty. | Ručně, zakázáno | 1.1.0 |
| Ochrana hesel pomocí šifrování | CMA_0408 – Ochrana hesel pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zabezpečení sítě, včetně chování místního systému, PKU2U, LAN Manageru, klienta LDAP a poskytovatele zabezpečení NTLM. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Nejasná zpětná vazba ověřovacích informací
ID: NIST SP 800-171 R2 3.5.11 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Skrytí informací o zpětné vazbě během procesu ověřování | CMA_C1344 – Skrytí informací o zpětné vazbě během procesu ověřování | Ručně, zakázáno | 1.1.0 |
Ověřte (nebo ověřte) identity uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k organizačním systémům.
ID: NIST SP 800-171 R2 3.5.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Linuxem, u kterých nejsou nastavená oprávnění k souborům passwd nastavená na 0644 | AuditIfNotExists, zakázáno | 3.1.0 |
| Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které neukládají hesla pomocí reverzibilního šifrování | AuditIfNotExists, zakázáno | 2.0.0 |
| Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, zakázáno | 3.2.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Certifikáty by měly mít zadanou maximální dobu platnosti. | Požadavky organizace na dodržování předpisů můžete spravovat zadáním maximální doby, po kterou může být certifikát platný v rámci trezoru klíčů. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 2.2.1 |
| Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | Tato zásada nasadí rozšíření Konfigurace hosta linuxu do virtuálních počítačů s Linuxem hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta linuxu je předpokladem pro všechna přiřazení konfigurace hosta Linuxu a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta Linuxu. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Vytvoření typů a procesů authenticatoru | CMA_0267 – Vytvoření typů a procesů ověřování | Ručně, zakázáno | 1.1.0 |
| Vytvoření postupů pro počáteční distribuci ověřovacího objektu | CMA_0276 – Vytvoření postupů pro počáteční distribuci ověřovacího objektu | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Klíče služby Key Vault by měly mít datum vypršení platnosti. | Kryptografické klíče by měly mít definované datum vypršení platnosti a neměly by být trvalé. Klíče, které jsou platné navždy, poskytují potenciálnímu útočníkovi více času k ohrožení klíče. Doporučuje se nastavit data vypršení platnosti kryptografických klíčů pomocí osvědčených postupů zabezpečení. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Tajné kódy služby Key Vault by měly mít datum vypršení platnosti. | Tajné kódy by měly mít definované datum vypršení platnosti a neměly by být trvalé. Tajné kódy, které jsou navždy platné, poskytují potenciálnímu útočníkovi více času k jejich ohrožení. Doporučuje se nastavit data vypršení platnosti tajných kódů. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Správa doby života a opakovaného použití authenticatoru | CMA_0355 – Správa doby života a opakovaného použití ověřovacího programu | Ručně, zakázáno | 1.1.0 |
| Správa authenticátorů | CMA_C1321 – Správa ověřovacích modulů | Ručně, zakázáno | 1.1.0 |
| Aktualizace ověřovacích modulů | CMA_0425 – aktualizace ověřovacích modulů | Ručně, zakázáno | 1.1.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
| Ověření identity před distribucí ověřovacích modulů | CMA_0538 – Ověření identity před distribucí ověřovacích modulů | Ručně, zakázáno | 1.1.0 |
Použití vícefaktorového ověřování pro přístup k privilegovaným účtům a síťovému přístupu k neprivilegovaným účtům
ID: NIST SP 800-171 R2 3.5.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Přijetí biometrických mechanismů ověřování | CMA_0005 – přijetí biometrických mechanismů ověřování | Ručně, zakázáno | 1.1.0 |
| Identifikace a ověřování síťových zařízení | CMA_0296 – Identifikace a ověřování síťových zařízení | Ručně, zakázáno | 1.1.0 |
Používejte mechanismy ověřování odolné proti přehrání pro síťový přístup k privilegovaným a neprivilegovaným účtům.
ID: NIST SP 800-171 R2 3.5.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | Počítače s Windows by měly mít zadaná nastavení zásad skupiny v kategorii Možnosti zabezpečení – Zabezpečení sítě, včetně chování místního systému, PKU2U, LAN Manageru, klienta LDAP a poskytovatele zabezpečení NTLM. Tato zásada vyžaduje, aby požadavky konfigurace hosta byly nasazeny do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 3.0.0 |
Zabrání opakovanému použití identifikátorů pro definované období.
ID: NIST SP 800-171 R2 3.5.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Zabránění opakovanému použití identifikátoru pro definované časové období | CMA_C1314 – Zabránění opakovanému použití identifikátoru pro definované časové období | Ručně, zakázáno | 1.1.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
Zakažte identifikátory po definovaném období nečinnosti.
ID: NIST SP 800-171 R2 3.5.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Správce Azure Active Directory by měl být zřízený pro sql servery. | Audit zřizování správce Azure Active Directory pro váš SQL server za účelem povolení ověřování Azure AD Ověřování Azure AD umožňuje zjednodušenou správu oprávnění a centralizovanou správu identit uživatelů databáze a dalších služby Microsoft | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Prostředky azure AI Services by měly mít zakázaný přístup ke klíči (zakázat místní ověřování). | Pro zabezpečení se doporučuje zakázat přístup ke klíči (místní ověřování). Azure OpenAI Studio, který se obvykle používá při vývoji/testování, vyžaduje přístup ke klíči a nebude fungovat, pokud je zakázaný přístup ke klíči. Po zakázání se Microsoft Entra ID stane jedinou metodou přístupu, která umožňuje zachovat princip minimálních oprávnění a podrobné řízení. Další informace najdete tady: https://aka.ms/AI/auth | Audit, Odepřít, Zakázáno | 1.1.0 |
| Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Clustery Service Fabric by měly používat pouze Azure Active Directory pro ověřování klientů. | Auditování využití ověřování klientů pouze přes Azure Active Directory v Service Fabric | Audit, Odepřít, Zakázáno | 1.1.0 |
Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky.
ID: NIST SP 800-171 R2 3.5.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Auditovat počítače s Windows, které nemají povolené nastavení složitosti hesla | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které nemají povolené nastavení složitosti hesla | AuditIfNotExists, zakázáno | 2.0.0 |
| Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows neomezují minimální délku hesla na zadaný počet znaků. Výchozí hodnota minimální délky hesla je 14 znaků. | AuditIfNotExists, zakázáno | 2.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách | CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv | Ručně, zakázáno | 1.1.0 |
| Vytvoření zásady hesel | CMA_0256 – Vytvoření zásad hesel | Ručně, zakázáno | 1.1.0 |
| Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami | CMA_0321 – Implementace parametrů pro ověřovatele tajných kódů se zapamatovanými poznámkami | Ručně, zakázáno | 1.1.0 |
Zakázat opakované použití hesla pro zadaný počet generací.
ID: NIST SP 800-171 R2 3.5.8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta, ale nemají žádné spravované identity. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | Tato zásada přidá spravovanou identitu přiřazenou systémem k virtuálním počítačům hostovaným v Azure, které jsou podporovány konfigurací hosta a mají aspoň jednu identitu přiřazenou uživatelem, ale nemají spravovanou identitu přiřazenou systémem. Spravovaná identita přiřazená systémem je předpokladem pro všechna přiřazení konfigurace hosta a musí být před použitím definic zásad konfigurace hosta přidána do počítačů. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | modify (úprava) | 4.1.0 |
| Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. Výchozí hodnota pro jedinečná hesla je 24 | AuditIfNotExists, zakázáno | 2.1.0 |
| Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | Tato zásada nasadí rozšíření Konfigurace hosta systému Windows do virtuálních počítačů s Windows hostovaných v Azure, které jsou podporovány konfigurací hosta. Rozšíření Konfigurace hosta systému Windows je předpokladem pro všechna přiřazení konfigurace hosta systému Windows a musí být nasazena na počítače před použitím jakékoli definice zásad konfigurace hosta systému Windows. Další informace o konfiguraci hosta naleznete v tématu https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Reakce na incidenty
Vytvořte provozní schopnost zpracování incidentů pro organizační systémy, které zahrnují aktivity přípravy, detekce, analýzy, omezení, obnovení a reakce uživatelů.
ID: NIST SP 800-171 R2 3.6.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Koordinace plánů nepředvídaných událostí se souvisejícími plány | CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány | Ručně, zakázáno | 1.1.0 |
| Koordinace s externími organizacemi za účelem dosažení perspektivy mezi organizacemi | CMA_C1368 – koordinace s externími organizacemi za účelem dosažení perspektivy mezi organizacemi | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Vývoj bezpečnostních opatření | CMA_0161 – Vývoj bezpečnostních opatření | Ručně, zakázáno | 1.1.0 |
| Zdokumentovat operace zabezpečení | CMA_0202 – Zdokumentovat operace zabezpečení | Ručně, zakázáno | 1.1.0 |
| Povolení ochrany sítě | CMA_0238 – Povolení ochrany sítě | Ručně, zakázáno | 1.1.0 |
| Vymýcení kontaminovaných informací | CMA_0253 - Eradikát kontaminovaných informací | Ručně, zakázáno | 1.1.0 |
| Provádění akcí v reakci na přelití informací | CMA_0281 – Provádění akcí v reakci na přelití informací | Ručně, zakázáno | 1.1.0 |
| Implementace zpracování incidentů | CMA_0318 – Implementace zpracování incidentů | Ručně, zakázáno | 1.1.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Poskytnutí školení k přelití informací | CMA_0413 – poskytnutí školení k přelití informací | Ručně, zakázáno | 1.1.0 |
| Zobrazení a prošetření omezených uživatelů | CMA_0545 – Zobrazení a prošetření omezených uživatelů | Ručně, zakázáno | 1.1.0 |
Sledujte, dokumentujte a hlásit incidenty určeným úředníkům nebo orgánům interním i externím pro organizaci.
ID: NIST SP 800-171 R2 3.6.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.2.0 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.1.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Otestujte schopnost reakce na incidenty organizace.
ID: NIST SP 800-171 R2 3.6.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Testování reakce na incidenty | CMA_0060 – Provedení testování reakcí na incidenty | Ručně, zakázáno | 1.1.0 |
| Vytvoření programu zabezpečení informací | CMA_0263 – Vytvoření programu zabezpečení informací | Ručně, zakázáno | 1.1.0 |
| Spuštění útoků simulace | CMA_0486 – Spuštění útoků simulace | Ručně, zakázáno | 1.1.0 |
Údržba
Proveďte údržbu v organizačních systémech. [26].
ID: NIST SP 800-171 R2 3.7.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení aktivit údržby a oprav | CMA_0080 - Řízení činností údržby a oprav | Ručně, zakázáno | 1.1.0 |
Poskytuje ovládací prvky pro nástroje, techniky, mechanismy a pracovníky používané k provádění údržby systému.
ID: NIST SP 800-171 R2 3.7.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení aktivit údržby a oprav | CMA_0080 - Řízení činností údržby a oprav | Ručně, zakázáno | 1.1.0 |
| Použití mechanismu sanitizace médií | CMA_0208 – použití mechanismu sanitizace médií | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Správa nelokálních aktivit údržby a diagnostiky | CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky | Ručně, zakázáno | 1.1.0 |
Zajistěte, aby zařízení odebrané pro údržbu mimo pracoviště bylo sanitizováno ze všech CUI.
ID: NIST SP 800-171 R2 3.7.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití mechanismu sanitizace médií | CMA_0208 – použití mechanismu sanitizace médií | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Správa nelokálních aktivit údržby a diagnostiky | CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky | Ručně, zakázáno | 1.1.0 |
Před používáním médií v organizačních systémech zkontrolujte, jestli neobsahuje diagnostické a testovací programy škodlivý kód.
ID: NIST SP 800-171 R2 3.7.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení aktivit údržby a oprav | CMA_0080 - Řízení činností údržby a oprav | Ručně, zakázáno | 1.1.0 |
| Správa nelokálních aktivit údržby a diagnostiky | CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky | Ručně, zakázáno | 1.1.0 |
Vyžadovat vícefaktorové ověřování k navázání nelokálních relací údržby prostřednictvím externích síťových připojení a ukončení těchto připojení po dokončení nelokální údržby.
ID: NIST SP 800-171 R2 3.7.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Správa nelokálních aktivit údržby a diagnostiky | CMA_0364 – Správa nelokálních aktivit údržby a diagnostiky | Ručně, zakázáno | 1.1.0 |
Dohled nad činnostmi údržby pracovníků údržby bez požadované autorizace přístupu.
ID: NIST SP 800-171 R2 3.7.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Určení pracovníků pro dohled nad neautorizovanými aktivitami údržby | CMA_C1422 – Určete pracovníky, kteří budou dohlížet na neautorizované činnosti údržby. | Ručně, zakázáno | 1.1.0 |
| Údržba seznamu autorizovaných pracovníků vzdálené údržby | CMA_C1420 – Údržba seznamu autorizovaných pracovníků vzdálené údržby | Ručně, zakázáno | 1.1.0 |
| Správa pracovníků údržby | CMA_C1421 – Správa pracovníků údržby | Ručně, zakázáno | 1.1.0 |
Ochrana médií
Chránit (tj. fyzicky kontrolovat a bezpečně ukládat) systémová média obsahující CUI, jak papír, tak digitální.
ID: NIST SP 800-171 R2 3.8.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití mechanismu sanitizace médií | CMA_0208 – použití mechanismu sanitizace médií | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
Omezení přístupu k CUI na systémových médiích autorizovaným uživatelům
ID: NIST SP 800-171 R2 3.8.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití mechanismu sanitizace médií | CMA_0208 – použití mechanismu sanitizace médií | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
Sanitizace nebo zničení systémového média obsahující CUI před odstraněním nebo uvolněním pro opakované použití.
ID: NIST SP 800-171 R2 3.8.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití mechanismu sanitizace médií | CMA_0208 – použití mechanismu sanitizace médií | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
Označte médium s nezbytnými označeními CUI a omezeními distribuce. [27]
ID: NIST SP 800-171 R2 3.8.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
Řízení přístupu k médiím obsahujícím CUI a zachování odpovědnosti za média během přepravy mimo kontrolované oblasti.
ID: NIST SP 800-171 R2 3.8.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Správa přepravy aktiv | CMA_0370 – správa přepravy aktiv | Ručně, zakázáno | 1.1.0 |
Implementujte kryptografické mechanismy pro ochranu důvěrnosti CUI uložených na digitálních médiích během přenosu, pokud není jinak chráněno alternativními fyzickými ochranami.
ID: NIST SP 800-171 R2 3.8.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Správa přepravy aktiv | CMA_0370 – správa přepravy aktiv | Ručně, zakázáno | 1.1.0 |
Umožňuje řídit použití vyměnitelných médií na systémových součástech.
ID: NIST SP 800-171 R2 3.8.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Řízení používání přenosných úložných zařízení | CMA_0083 – řízení používání přenosných úložných zařízení | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Omezení používání médií | CMA_0450 – Omezení používání médií | Ručně, zakázáno | 1.1.0 |
Zakázat použití přenosných úložných zařízení, pokud tato zařízení nemají žádného identifikovatelného vlastníka.
ID: NIST SP 800-171 R2 3.8.8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Řízení používání přenosných úložných zařízení | CMA_0083 – řízení používání přenosných úložných zařízení | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Omezení používání médií | CMA_0450 – Omezení používání médií | Ručně, zakázáno | 1.1.0 |
Ochrana důvěrnosti cui zálohování v umístěních úložiště.
ID: NIST SP 800-171 R2 3.8.9 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro virtuální počítače by měla být povolená služba Azure Backup. | Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 3.0.0 |
| Vytvoření zásad a postupů zálohování | CMA_0268 – Vytvoření zásad a postupů zálohování | Ručně, zakázáno | 1.1.0 |
| Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. | Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. | Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. | Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Trezory klíčů by měly mít povolenou ochranu před odstraněním. | Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Trezory klíčů by měly mít povolené obnovitelné odstranění. | Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. | Audit, Odepřít, Zakázáno | 3.0.0 |
Zabezpečení personálu
Uživatelé obrazovky před autorizací přístupu k organizačním systémům obsahujícím CUI
ID: NIST SP 800-171 R2 3.9.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vymazat pracovníky s přístupem k klasifikovaným informacím | CMA_0054 – Vymazat pracovníky s přístupem k klasifikovaným informacím | Ručně, zakázáno | 1.1.0 |
| Implementace kontroly pracovníků | CMA_0322 – implementace kontroly pracovníků | Ručně, zakázáno | 1.1.0 |
Zajistěte, aby organizační systémy obsahující CUI byly chráněny během a po akcích pracovníků, jako jsou ukončení a přenosy.
ID: NIST SP 800-171 R2 3.9.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Provedení závěrečného pohovoru po ukončení | CMA_0058 - Provedení závěrečného pohovoru po ukončení | Ručně, zakázáno | 1.1.0 |
| Zakázání ověřovacích modulů po ukončení | CMA_0169 – Zakázání ověřovacích modulů po ukončení | Ručně, zakázáno | 1.1.0 |
| Zahájení akcí převodu nebo opětovného přiřazení | CMA_0333 – Zahájení akcí převodu nebo opětovného přiřazení | Ručně, zakázáno | 1.1.0 |
| Úprava autorizace přístupu při převodu personálu | CMA_0374 – Úprava autorizace přístupu při převodu personálu | Ručně, zakázáno | 1.1.0 |
| Upozorňovat na ukončení nebo převod | CMA_0381 – oznámení při ukončení nebo převodu | Ručně, zakázáno | 1.1.0 |
| Ochrana před krádeží dat a zabránění úniku dat odcházejícím zaměstnancům | CMA_0398 – Ochrana před krádeží dat a zabránění úniku dat odcházejícím zaměstnancům | Ručně, zakázáno | 1.1.0 |
| Opětovné hodnocení přístupu při převodu personálu | CMA_0424 - Opětovné hodnocení přístupu při převodu personálu | Ručně, zakázáno | 1.1.0 |
Další kroky
Další články o službě Azure Policy:
- Přehled dodržování právních předpisů
- Podívejte se na strukturu definice iniciativy.
- Projděte si další příklady v ukázkách služby Azure Policy.
- Projděte si Vysvětlení efektů zásad.
- Zjistěte, jak napravit nevyhovující prostředky.