Řízení dodržování právních předpisů pro Azure Policy pro Azure Virtual Machines
Platí pro: ✔️ Virtuální počítače s Windows s Linuxem ✔️ ✔️ – Flexibilní škálovací sady Uniform Scale Sets ✔️
Dodržování právních předpisů v Azure Policy poskytuje vytvořené a spravované definice iniciativ Microsoftu, označované jako předdefinované, pro domény dodržování předpisů a kontrolní mechanismy zabezpečení související s různými standardy dodržování předpisů. Tato stránka obsahuje seznam domén dodržování předpisů a kontrolních mechanismů zabezpečení pro azure Virtual Machines. Předdefinované prvky pro ovládací prvek zabezpečení můžete přiřadit jednotlivě, aby vaše prostředky Azure vyhovovaly konkrétnímu standardu.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zásad zobrazte zdroj v úložišti Azure Policy na GitHubu.
Důležité
Každý ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit soulad s kontrolou. Často ale není mezi ovládacím prvek a jednou nebo více zásadami shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné zásady. Tím se nezajistí, že plně vyhovujete všem požadavkům ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi ovládacími prvky a definicemi dodržování právních předpisů azure Policy pro tyto standardy dodržování předpisů se můžou v průběhu času měnit.
Australian Government ISM PROTECTED
Informace o tom, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů azure Policy – Australian Government ISM PROTECTED. Další informace o tomto standardu dodržování předpisů naleznete v tématu Australian Government ISM PROTECTED.
Canada Federal PBMM
Informace o tom, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů azure Policy – Canada Federal PBMM. Další informace o tomto standardu dodržování předpisů najdete v tématu Canada Federal PBMM.
Srovnávací test CIS Microsoft Azure Foundations 1.1.0
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů služby Azure Policy – Srovnávací test CIS Microsoft Azure Foundations 1.1.0. Další informace o tomto standardu dodržování předpisů najdete v tématu Srovnávací test CIS Microsoft Azure Foundations.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| 2 Security Center | 2.10 | Ujistěte se, že výchozí nastavení zásad ASC "Monitorování posouzení ohrožení zabezpečení" není zakázané. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| 2 Security Center | 2,12 | Ujistěte se, že výchozí nastavení zásad ASC Monitor JIT Network Access není zakázané. | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| 2 Security Center | 2,4 | Ujistěte se, že výchozí nastavení zásad ASC "Monitorování ohrožení zabezpečení operačního systému" není zakázané. | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| 2 Security Center | 2.9 | Ujistěte se, že výchozí nastavení zásad ASC Povolit monitorování brány firewall nové generace (NGFW) není zakázané. | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| 7 Virtuální počítače | 7,4 | Ujistěte se, že jsou nainstalovaná jenom schválená rozšíření. | Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. | 1.0.0 |
Srovnávací test CIS Microsoft Azure Foundations 1.3.0
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů pro Azure Policy – srovnávací test CIS Microsoft Azure Foundations 1.3.0. Další informace o tomto standardu dodržování předpisů najdete v tématu Srovnávací test CIS Microsoft Azure Foundations.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| 7 Virtuální počítače | 7.1 | Ujistěte se, že virtuální počítače využívají Spravované disky | Audit virtuálních počítačů, které nepoužívají spravované disky | 1.0.0 |
| 7 Virtuální počítače | 7,4 | Ujistěte se, že jsou nainstalovaná jenom schválená rozšíření. | Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. | 1.0.0 |
| 7 Virtuální počítače | 7.6 | Ujistěte se, že je nainstalovaná ochrana koncových bodů pro všechny virtuální počítače. | Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | 3.0.0 |
Srovnávací test CIS Microsoft Azure Foundations 1.4.0
Pokud chcete zkontrolovat, jak dostupné předdefinované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy pro CIS verze 1.4.0. Další informace o tomto standardu dodržování předpisů najdete v tématu Srovnávací test CIS Microsoft Azure Foundations.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| 7 Virtuální počítače | 7.1 | Ujistěte se, že virtuální počítače využívají Spravované disky | Audit virtuálních počítačů, které nepoužívají spravované disky | 1.0.0 |
| 7 Virtuální počítače | 7,4 | Ujistěte se, že jsou nainstalovaná jenom schválená rozšíření. | Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. | 1.0.0 |
Srovnávací test CIS Microsoft Azure Foundations 2.0.0
Pokud chcete zkontrolovat, jak jsou dostupné integrované služby Azure Policy pro všechny služby Azure mapované na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy pro CIS v2.0.0. Další informace o tomto standardu dodržování předpisů najdete v tématu Srovnávací test CIS Microsoft Azure Foundations.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | Ujistěte se, že stav Použít aktualizace systému v programu Microsoft Defender je Dokončeno. | Počítače by měly být nakonfigurované tak, aby pravidelně kontrolovaly chybějící aktualizace systému. | 3.7.0 |
| 6 | 6.1 | Ujistěte se, že se vyhodnocuje a omezuje přístup RDP z internetu. | Porty pro správu by měly být na virtuálních počítačích zavřené. | 3.0.0 |
| 6 | 6,2 | Ujistěte se, že se vyhodnocuje a omezuje přístup SSH z internetu. | Porty pro správu by měly být na virtuálních počítačích zavřené. | 3.0.0 |
| 7 | 7.2 | Ujistěte se, že virtuální počítače využívají Spravované disky | Audit virtuálních počítačů, které nepoužívají spravované disky | 1.0.0 |
| 7 | 7,4 | Ujistěte se, že jsou nepřipojené disky šifrované pomocí klíče spravovaného zákazníkem (CMK). | Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. | 1.0.0 |
| 7 | 7.5 | Ujistěte se, že jsou nainstalovaná jenom schválená rozšíření. | Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. | 1.0.0 |
CMMC level 3
Informace o tom, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – CMMC úrovně 3. Další informace o této normě dodržování předpisů najdete v tématu Certifikace modelu vyspělosti kybernetické bezpečnosti (CMMC).
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Řízení přístupu | AC.1.001 | Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| Řízení přístupu | AC.1.001 | Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| Řízení přístupu | AC.1.001 | Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). | Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | 3.1.0 |
| Řízení přístupu | AC.1.001 | Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| Řízení přístupu | AC.1.001 | Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| Řízení přístupu | AC.1.001 | Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti | 3.0.0 |
| Řízení přístupu | AC.1.001 | Omezte přístup k informačnímu systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných informačních systémů). | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | 3.0.0 |
| Řízení přístupu | AC.1.002 | Omezte přístup k informačnímu systému na typy transakcí a funkcí, které mají oprávnění uživatelé spouštět. | Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | 3.1.0 |
| Řízení přístupu | AC.1.002 | Omezte přístup k informačnímu systému na typy transakcí a funkcí, které mají oprávnění uživatelé spouštět. | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| Řízení přístupu | AC.1.002 | Omezte přístup k informačnímu systému na typy transakcí a funkcí, které mají oprávnění uživatelé spouštět. | Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | 4.1.1 |
| Řízení přístupu | AC.1.002 | Omezte přístup k informačnímu systému na typy transakcí a funkcí, které mají oprávnění uživatelé spouštět. | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti | 3.0.0 |
| Řízení přístupu | AC.1.003 | Ověřte a kontrolují a omezují připojení k externím informačním systémům a jejich používání. | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| Řízení přístupu | AC.2.007 | Používejte princip nejnižších oprávnění, včetně konkrétních funkcí zabezpečení a privilegovaných účtů. | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| Řízení přístupu | AC.2.008 | Při přístupu k funkcím bez zabezpečení používejte neprivilegované účty nebo role. | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Řízení uživatelských účtů. | 3.0.0 |
| Řízení přístupu | AC.2.008 | Při přístupu k funkcím bez zabezpečení používejte neprivilegované účty nebo role. | Počítače s Windows by měly splňovat požadavky na přiřazení uživatelských práv. | 3.0.0 |
| Řízení přístupu | AC.2.013 | Monitorování a řízení relací vzdáleného přístupu | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| Řízení přístupu | AC.2.013 | Monitorování a řízení relací vzdáleného přístupu | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| Řízení přístupu | AC.2.013 | Monitorování a řízení relací vzdáleného přístupu | Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | 3.1.0 |
| Řízení přístupu | AC.2.013 | Monitorování a řízení relací vzdáleného přístupu | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| Řízení přístupu | AC.2.013 | Monitorování a řízení relací vzdáleného přístupu | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| Řízení přístupu | AC.2.013 | Monitorování a řízení relací vzdáleného přístupu | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | 3.0.0 |
| Řízení přístupu | AC.2.016 | Řízení toku CUI v souladu se schválenými autorizací. | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| Řízení přístupu | AC.2.016 | Řízení toku CUI v souladu se schválenými autorizací. | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti | 3.0.0 |
| Řízení přístupu | AC.3.017 | Oddělte povinnosti jednotlivců, aby se snížilo riziko zlovolné činnosti bez koluze. | Auditovat počítače s Windows, u které chybí některý ze zadaných členů ve skupině Administrators | 2.0.0 |
| Řízení přístupu | AC.3.017 | Oddělte povinnosti jednotlivců, aby se snížilo riziko zlovolné činnosti bez koluze. | Auditování počítačů s Windows se zadanými členy ve skupině Administrators | 2.0.0 |
| Řízení přístupu | AC.3.018 | Zabraňte neprivilegovaným uživatelům v provádění privilegovaných funkcí a zachytávání provádění těchto funkcí v protokolech auditu. | Počítače s Windows by měly splňovat požadavky na zásady auditu systému – použití oprávnění. | 3.0.0 |
| Řízení přístupu | AC.3.021 | Autorizace vzdáleného spouštění privilegovaných příkazů a vzdáleného přístupu k informacím relevantním pro zabezpečení | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| Řízení přístupu | AC.3.021 | Autorizace vzdáleného spouštění privilegovaných příkazů a vzdáleného přístupu k informacím relevantním pro zabezpečení | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| Řízení přístupu | AC.3.021 | Autorizace vzdáleného spouštění privilegovaných příkazů a vzdáleného přístupu k informacím relevantním pro zabezpečení | Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | 3.1.0 |
| Řízení přístupu | AC.3.021 | Autorizace vzdáleného spouštění privilegovaných příkazů a vzdáleného přístupu k informacím relevantním pro zabezpečení | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| Řízení přístupu | AC.3.021 | Autorizace vzdáleného spouštění privilegovaných příkazů a vzdáleného přístupu k informacím relevantním pro zabezpečení | Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | 1.0.3 |
| Řízení přístupu | AC.3.021 | Autorizace vzdáleného spouštění privilegovaných příkazů a vzdáleného přístupu k informacím relevantním pro zabezpečení | Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | 1.0.1 |
| Řízení přístupu | AC.3.021 | Autorizace vzdáleného spouštění privilegovaných příkazů a vzdáleného přístupu k informacím relevantním pro zabezpečení | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Řízení uživatelských účtů. | 3.0.0 |
| Řízení přístupu | AC.3.021 | Autorizace vzdáleného spouštění privilegovaných příkazů a vzdáleného přístupu k informacím relevantním pro zabezpečení | Počítače s Windows by měly splňovat požadavky na přiřazení uživatelských práv. | 3.0.0 |
| Audit a odpovědnost | AU.2.041 | Ujistěte se, že akce jednotlivých systémových uživatelů mohou být jednoznačně sledovány na tyto uživatele, aby mohli být zodpovědní za jejich akce. | [Preview]: U uvedených imagí virtuálních počítačů by mělo být povolené rozšíření Log Analytics. | 2.0.1-preview |
| Audit a odpovědnost | AU.2.041 | Ujistěte se, že akce jednotlivých systémových uživatelů mohou být jednoznačně sledovány na tyto uživatele, aby mohli být zodpovědní za jejich akce. | Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. | 2.0.1 |
| Audit a odpovědnost | AU.2.041 | Ujistěte se, že akce jednotlivých systémových uživatelů mohou být jednoznačně sledovány na tyto uživatele, aby mohli být zodpovědní za jejich akce. | Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | 1.0.1 |
| Audit a odpovědnost | AU.2.041 | Ujistěte se, že akce jednotlivých systémových uživatelů mohou být jednoznačně sledovány na tyto uživatele, aby mohli být zodpovědní za jejich akce. | Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. | 1.1.0 |
| Audit a odpovědnost | AU.2.041 | Ujistěte se, že akce jednotlivých systémových uživatelů mohou být jednoznačně sledovány na tyto uživatele, aby mohli být zodpovědní za jejich akce. | Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | 1.0.1 |
| Audit a odpovědnost | AU.2.042 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k tomu, aby bylo možné monitorovat, analyzovat, prošetřovat a hlásit protiprávní nebo neoprávněnou systémovou aktivitu. | [Preview]: U uvedených imagí virtuálních počítačů by mělo být povolené rozšíření Log Analytics. | 2.0.1-preview |
| Audit a odpovědnost | AU.2.042 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k tomu, aby bylo možné monitorovat, analyzovat, prošetřovat a hlásit protiprávní nebo neoprávněnou systémovou aktivitu. | Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. | 2.0.1 |
| Audit a odpovědnost | AU.2.042 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k tomu, aby bylo možné monitorovat, analyzovat, prošetřovat a hlásit protiprávní nebo neoprávněnou systémovou aktivitu. | Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | 1.0.1 |
| Audit a odpovědnost | AU.2.042 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k tomu, aby bylo možné monitorovat, analyzovat, prošetřovat a hlásit protiprávní nebo neoprávněnou systémovou aktivitu. | Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. | 1.1.0 |
| Audit a odpovědnost | AU.2.042 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k tomu, aby bylo možné monitorovat, analyzovat, prošetřovat a hlásit protiprávní nebo neoprávněnou systémovou aktivitu. | Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | 1.0.1 |
| Audit a odpovědnost | AU.3.046 | Výstraha v případě selhání procesu protokolování auditu | [Preview]: U uvedených imagí virtuálních počítačů by mělo být povolené rozšíření Log Analytics. | 2.0.1-preview |
| Audit a odpovědnost | AU.3.046 | Výstraha v případě selhání procesu protokolování auditu | Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. | 2.0.1 |
| Audit a odpovědnost | AU.3.046 | Výstraha v případě selhání procesu protokolování auditu | Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. | 1.1.0 |
| Audit a odpovědnost | AU.3.048 | Shromážděte informace o auditu (např. protokoly) do jednoho nebo více centrálních úložišť. | [Preview]: U uvedených imagí virtuálních počítačů by mělo být povolené rozšíření Log Analytics. | 2.0.1-preview |
| Audit a odpovědnost | AU.3.048 | Shromážděte informace o auditu (např. protokoly) do jednoho nebo více centrálních úložišť. | Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. | 2.0.1 |
| Audit a odpovědnost | AU.3.048 | Shromážděte informace o auditu (např. protokoly) do jednoho nebo více centrálních úložišť. | Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | 1.0.1 |
| Audit a odpovědnost | AU.3.048 | Shromážděte informace o auditu (např. protokoly) do jednoho nebo více centrálních úložišť. | Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. | 1.1.0 |
| Audit a odpovědnost | AU.3.048 | Shromážděte informace o auditu (např. protokoly) do jednoho nebo více centrálních úložišť. | Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | 1.0.1 |
| Posouzení zabezpečení | CA.2.158 | Pravidelně vyhodnocujte bezpečnostní prvky v organizačních systémech, abyste zjistili, jestli jsou kontrolní mechanismy v jejich aplikaci účinné. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| Posouzení zabezpečení | CA.3.161 | Průběžně monitorujte bezpečnostní prvky, abyste zajistili trvalou účinnost kontrol. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| Správa konfigurace | CM.2.061 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | 2.2.0 |
| Správa konfigurace | CM.2.062 | Použití principu nejnižší funkčnosti konfigurací organizačních systémů tak, aby poskytovaly pouze základní možnosti. | Počítače s Windows by měly splňovat požadavky na zásady auditu systému – použití oprávnění. | 3.0.0 |
| Správa konfigurace | CM.2.063 | Řízení a monitorování softwaru nainstalovaného uživatelem | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Řízení uživatelských účtů. | 3.0.0 |
| Správa konfigurace | CM.2.064 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| Správa konfigurace | CM.2.064 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | 3.0.0 |
| Správa konfigurace | CM.2.065 | Sledujte, kontrolujte, schvalujte nebo neschvalujte a protokolujte změny v organizačních systémech. | Počítače s Windows by měly splňovat požadavky na zásady auditu systému – Změna zásad. | 3.0.0 |
| Správa konfigurace | CM.3.068 | Omezte, zakažte nebo zakažte použití žádných nepotřebných programů, funkcí, portů, protokolů a služeb. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| Správa konfigurace | CM.3.068 | Omezte, zakažte nebo zakažte použití žádných nepotřebných programů, funkcí, portů, protokolů a služeb. | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| Správa konfigurace | CM.3.068 | Omezte, zakažte nebo zakažte použití žádných nepotřebných programů, funkcí, portů, protokolů a služeb. | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| Správa konfigurace | CM.3.068 | Omezte, zakažte nebo zakažte použití žádných nepotřebných programů, funkcí, portů, protokolů a služeb. | Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| Identifikace a ověřování | IA.1.077 | Ověřte (nebo ověřte) identity těchto uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k informačním systémům organizace. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| Identifikace a ověřování | IA.1.077 | Ověřte (nebo ověřte) identity těchto uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k informačním systémům organizace. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| Identifikace a ověřování | IA.1.077 | Ověřte (nebo ověřte) identity těchto uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k informačním systémům organizace. | Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 | 3.1.0 |
| Identifikace a ověřování | IA.1.077 | Ověřte (nebo ověřte) identity těchto uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k informačním systémům organizace. | Auditování počítačů s Linuxem, které mají účty bez hesel | 3.1.0 |
| Identifikace a ověřování | IA.1.077 | Ověřte (nebo ověřte) identity těchto uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k informačním systémům organizace. | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| Identifikace a ověřování | IA.1.077 | Ověřte (nebo ověřte) identity těchto uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k informačním systémům organizace. | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | 3.0.0 |
| Identifikace a ověřování | IA.2.078 | Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| Identifikace a ověřování | IA.2.078 | Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| Identifikace a ověřování | IA.2.078 | Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky. | Auditování počítačů s Linuxem, které mají účty bez hesel | 3.1.0 |
| Identifikace a ověřování | IA.2.078 | Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky. | Auditovat počítače s Windows, které nemají povolené nastavení složitosti hesla | 2.0.0 |
| Identifikace a ověřování | IA.2.078 | Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky. | Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků | 2.1.0 |
| Identifikace a ověřování | IA.2.078 | Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky. | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| Identifikace a ověřování | IA.2.078 | Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky. | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | 3.0.0 |
| Identifikace a ověřování | IA.2.079 | Zakázat opakované použití hesla pro zadaný počet generací. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| Identifikace a ověřování | IA.2.079 | Zakázat opakované použití hesla pro zadaný počet generací. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| Identifikace a ověřování | IA.2.079 | Zakázat opakované použití hesla pro zadaný počet generací. | Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. | 2.1.0 |
| Identifikace a ověřování | IA.2.079 | Zakázat opakované použití hesla pro zadaný počet generací. | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| Identifikace a ověřování | IA.2.079 | Zakázat opakované použití hesla pro zadaný počet generací. | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | 3.0.0 |
| Identifikace a ověřování | IA.2.081 | Ukládat a přenášet pouze kryptograficky chráněná hesla. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| Identifikace a ověřování | IA.2.081 | Ukládat a přenášet pouze kryptograficky chráněná hesla. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| Identifikace a ověřování | IA.2.081 | Ukládat a přenášet pouze kryptograficky chráněná hesla. | Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | 2.0.0 |
| Identifikace a ověřování | IA.2.081 | Ukládat a přenášet pouze kryptograficky chráněná hesla. | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| Identifikace a ověřování | IA.2.081 | Ukládat a přenášet pouze kryptograficky chráněná hesla. | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | 3.0.0 |
| Identifikace a ověřování | IA.3.084 | Pro přístup k privilegovaným a neprivilegovaným účtům používejte mechanismy ověřování odolné proti přehrání. | Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | 4.1.1 |
| Obnovovací | RE.2.137 | Pravidelně provádí a testuje zálohování dat. | Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | 1.0.0 |
| Obnovovací | RE.2.137 | Pravidelně provádí a testuje zálohování dat. | Pro virtuální počítače by měla být povolená služba Azure Backup. | 3.0.0 |
| Obnovovací | RE.3.139 | Pravidelné provádění kompletních, komplexních a odolných záloh dat podle organizační definice. | Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | 1.0.0 |
| Obnovovací | RE.3.139 | Pravidelné provádění kompletních, komplexních a odolných záloh dat podle organizační definice. | Pro virtuální počítače by měla být povolená služba Azure Backup. | 3.0.0 |
| Hodnocení rizika | RM.2.141 | Pravidelně vyhodnocujte riziko pro operace organizace (včetně poslání, funkcí, image nebo reputace), organizačních prostředků a jednotlivců, které jsou výsledkem provozu organizačních systémů a přidruženého zpracování, ukládání nebo přenosu CUI. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| Hodnocení rizika | RM.2.142 | Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| Hodnocení rizika | RM.2.143 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| Hodnocení rizika | RM.2.143 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| System and Communications Protection | SC.1.175 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| System and Communications Protection | SC.1.175 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | SC.1.175 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| System and Communications Protection | SC.1.175 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | SC.1.175 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | 4.1.1 |
| System and Communications Protection | SC.1.175 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti | 3.0.0 |
| System and Communications Protection | SC.1.175 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | SC.1.176 | Implementujte podsítě pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| System and Communications Protection | SC.1.176 | Implementujte podsítě pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | SC.2.179 | Pro správu síťových zařízení používejte šifrované relace. | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| System and Communications Protection | SC.3.177 | Používejte kryptografii ověřenou pomocí FIPS, pokud se používá k ochraně důvěrnosti CUI. | Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | 2.0.0 |
| System and Communications Protection | SC.3.181 | Oddělte uživatelské funkce od funkcí správy systému. | Auditování počítačů s Windows se zadanými členy ve skupině Administrators | 2.0.0 |
| System and Communications Protection | SC.3.183 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| System and Communications Protection | SC.3.183 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | SC.3.183 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| System and Communications Protection | SC.3.183 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | SC.3.183 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti | 3.0.0 |
| System and Communications Protection | SC.3.183 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | SC.3.185 | Implementujte kryptografické mechanismy, které brání neoprávněnému zpřístupnění CUI během přenosu, pokud nejsou jinak chráněny alternativními fyzickými bezpečnostními opatřeními. | Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | 4.1.1 |
| System and Communications Protection | SC.3.190 | Chraňte pravost komunikačních relací. | Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | 4.1.1 |
| Integrita systému a informací | SI.1.210 | Včas identifikovat, hlásit a opravovat informace a chyby informačního systému. | Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | 1.0.0 |
| Integrita systému a informací | SI.1.210 | Včas identifikovat, hlásit a opravovat informace a chyby informačního systému. | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| Integrita systému a informací | SI.1.211 | Zajistěte ochranu před škodlivým kódem v příslušných umístěních v rámci informačních systémů organizace. | Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | 1.0.0 |
| Integrita systému a informací | SI.1.211 | Zajistěte ochranu před škodlivým kódem v příslušných umístěních v rámci informačních systémů organizace. | Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows | 1.1.0 |
| Integrita systému a informací | SI.1.212 | Aktualizujte mechanismy ochrany škodlivého kódu, pokud jsou k dispozici nové verze. | Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | 1.0.0 |
| Integrita systému a informací | SI.1.213 | Proveďte pravidelné kontroly informačního systému a kontroly souborů z externích zdrojů v reálném čase, protože se stahují, otevírají nebo spouštějí. | Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | 1.0.0 |
| Integrita systému a informací | SI.1.213 | Proveďte pravidelné kontroly informačního systému a kontroly souborů z externích zdrojů v reálném čase, protože se stahují, otevírají nebo spouštějí. | Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows | 1.1.0 |
FedRAMP vysoké úrovně
Informace o tom, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů azure Policy – FedRAMP High. Další informace o tomto standardu dodržování předpisů najdete v tématu FedRAMP High.
FedRAMP Moderate
Informace o tom, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – FedRAMP Moderate. Další informace o této normě dodržování předpisů najdete v tématu FedRAMP Moderate.
HIPAA HITRUST 9.2
Informace o tom, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – HIPAA HITRUST 9.2. Další informace o této normě dodržování předpisů naleznete v tématu HIPAA HITRUST 9.2.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Identifikace a ověřování uživatelů | 11210.01q2Organizational.10 - 01.q | Elektronické podpisy a ručně psané podpisy prováděné s elektronickými záznamy jsou propojeny s příslušnými elektronickými záznamy. | Auditování počítačů s Windows se zadanými členy ve skupině Administrators | 2.0.0 |
| Identifikace a ověřování uživatelů | 11211.01q2Organizational.11 - 01.q | Podepsané elektronické záznamy obsahují informace spojené s podpisem v čitelné podobě. | Auditovat počítače s Windows, u které chybí některý ze zadaných členů ve skupině Administrators | 2.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Ochrana proti škodlivému a mobilnímu kódu | Nasazení výchozího rozšíření Microsoft IaaSAntimalware pro Windows Server | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 Ochrana proti škodlivému a mobilnímu kódu | Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | 1.0.0 |
| 06 Správa konfigurace | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Zabezpečení systémových souborů | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| 06 Správa konfigurace | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Zabezpečení systémových souborů | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Audit | 3.0.0 |
| 06 Správa konfigurace | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 Zabezpečení systémových souborů | Počítače s Windows by měly splňovat požadavky na zásady auditování systému – Správa účtů. | 3.0.0 |
| 06 Správa konfigurace | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 Security In Development and Support Processes | Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. | 3.0.0 |
| 06 Správa konfigurace | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 Security In Development and Support Processes | Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. | 3.0.0 |
| 06 Správa konfigurace | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 Zabezpečení při vývoji a podpoře procesů | Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. | 3.0.0 |
| 06 Správa konfigurace | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 Security In Development and Support Processes | Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. | 3.0.0 |
| 06 Správa konfigurace | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 Security In Development and Support Processes | Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. | 3.0.0 |
| 06 Správa konfigurace | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 Security In Development and Support Processes | Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. | 3.0.0 |
| 06 Správa konfigurace | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 Zabezpečení při vývoji a podpoře procesů | Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. | 3.0.0 |
| 06 Správa konfigurace | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 Security In Development and Support Processes | Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. | 3.0.0 |
| 06 Správa konfigurace | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 Zabezpečení při vývoji a podpoře procesů | Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. | 3.0.0 |
| 06 Správa konfigurace | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 Security In Development and Support Processes | Počítače s Windows by měly splňovat požadavky na zásady auditu systému – podrobné sledování. | 3.0.0 |
| 07 – Správa ohrožení zabezpečení | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Technical Vulnerability Management | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| 07 – Správa ohrožení zabezpečení | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Technical Vulnerability Management | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| 07 – Správa ohrožení zabezpečení | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 Technical Vulnerability Management | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Microsoft Network Server. | 3.0.0 |
| 07 – Správa ohrožení zabezpečení | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 Technical Vulnerability Management | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| 07 – Správa ohrožení zabezpečení | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 Technická správa ohrožení zabezpečení | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| 07 – Správa ohrožení zabezpečení | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 Technical Vulnerability Management | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| 08 Ochrana sítě | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 Řízení přístupu k síti | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| 08 Ochrana sítě | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 Řízení přístupu k síti | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| 08 Ochrana sítě | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 Řízení přístupu k síti | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| 08 Ochrana sítě | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 Řízení přístupu k síti | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| 08 Ochrana sítě | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 Řízení přístupu k síti | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| 08 Ochrana sítě | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 Řízení přístupu k síti | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| 08 Ochrana sítě | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 Řízení přístupu k síti | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| 08 Ochrana sítě | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Správa zabezpečení sítě | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | 1.0.2-preview |
| 08 Ochrana sítě | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 Správa zabezpečení sítě | Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | 1.0.0 |
| 08 Ochrana sítě | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 Správa zabezpečení sítě | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | 1.0.2-preview |
| 08 Ochrana sítě | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Správa zabezpečení sítě | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| 08 Ochrana sítě | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Správa zabezpečení sítě | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| 08 Ochrana sítě | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 Správa zabezpečení sítě | Počítače s Windows by měly splňovat požadavky na vlastnosti brány Windows Firewall. | 3.0.0 |
| 08 Ochrana sítě | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 Správa zabezpečení sítě | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Přístup k síti | 3.0.0 |
| 08 Ochrana sítě | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 Správa zabezpečení sítě | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | 1.0.2-preview |
| 08 Ochrana sítě | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 Správa zabezpečení sítě | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | 1.0.2-preview |
| 08 Ochrana sítě | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 Řízení přístupu k síti | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| Zálohování | 1699.09l1Organizational.10 - 09.l | Pracovníci, kteří mají v procesu zálohování dat role a povinnosti, jsou identifikováni a komunikují pracovníkům; Zejména uživatelé přineste si vlastní zařízení (BYOD) musí provádět zálohy dat organizace nebo klientů na svých zařízeních. | Pro virtuální počítače by měla být povolená služba Azure Backup. | 3.0.0 |
| 09 Ochrana přenosu | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 Elektronické obchodování | Auditovat počítače s Windows, které neobsahují zadané certifikáty v důvěryhodném kořenovém adresáři | 3.0.0 |
| 11 Řízení přístupu | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 Autorizovaný přístup k informačním systémům | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| 11 Řízení přístupu | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 Řízení přístupu k síti | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| 11 Řízení přístupu | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 Řízení přístupu k operačnímu systému | Auditování počítačů s Windows, které mají ve skupině Administrators další účty | 2.0.0 |
| 11 Řízení přístupu | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 Řízení přístupu k operačnímu systému | Auditování počítačů s Windows se zadanými členy ve skupině Administrators | 2.0.0 |
| 11 Řízení přístupu | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 Řízení přístupu k operačnímu systému | Auditovat počítače s Windows, u které chybí některý ze zadaných členů ve skupině Administrators | 2.0.0 |
| 11 Řízení přístupu | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 Autorizovaný přístup k informačním systémům | Porty pro správu by měly být na virtuálních počítačích zavřené. | 3.0.0 |
| 11 Řízení přístupu | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 Autorizovaný přístup k informačním systémům | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Účty. | 3.0.0 |
| 11 Řízení přístupu | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 Autorizovaný přístup k informačním systémům | Porty pro správu by měly být na virtuálních počítačích zavřené. | 3.0.0 |
| 11 Řízení přístupu | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 Řízení přístupu k síti | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| 11 Řízení přístupu | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 Řízení přístupu k síti | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| 11 Řízení přístupu | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 Řízení přístupu k síti | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| 11 Řízení přístupu | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 Řízení přístupu k síti | Porty pro správu by měly být na virtuálních počítačích zavřené. | 3.0.0 |
| 12 Protokolování auditu a monitorování | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 Monitorování | Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | 1.0.1 |
| 12 Protokolování auditu a monitorování | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 Monitorování | Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | 1.0.1 |
| 12 Protokolování auditu a monitorování | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 Monitorování | Auditování počítačů s Windows, na kterých není agent Log Analytics připojený podle očekávání | 2.0.0 |
| 12 Protokolování auditu a monitorování | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 Monitorování | Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | 1.0.1 |
| 12 Protokolování auditu a monitorování | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 Monitorování | Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | 1.0.1 |
| 12 Protokolování auditu a monitorování | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 Monitorování | Auditování počítačů s Windows, na kterých není agent Log Analytics připojený podle očekávání | 2.0.0 |
| 12 Protokolování auditu a monitorování | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 Zdokumentované provozní postupy | Počítače s Windows by měly splňovat požadavky na přiřazení uživatelských práv. | 3.0.0 |
| 12 Protokolování auditu a monitorování | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 Zdokumentované provozní postupy | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Řízení uživatelských účtů. | 3.0.0 |
| 16 Provozní kontinuita a zotavení po havárii | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 Informace Zálohování | Pro virtuální počítače by měla být povolená služba Azure Backup. | 3.0.0 |
| 16 Provozní kontinuita a zotavení po havárii | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 Informace Zálohování | Pro virtuální počítače by měla být povolená služba Azure Backup. | 3.0.0 |
| 16 Provozní kontinuita a zotavení po havárii | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 Aspekty zabezpečení informací správy kontinuity podnikových procesů | Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | 1.0.0 |
| 16 Provozní kontinuita a zotavení po havárii | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 Aspekty zabezpečení informací správy kontinuity podnikových procesů | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – konzola pro zotavení. | 3.0.0 |
| 16 Provozní kontinuita a zotavení po havárii | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 Aspekty zabezpečení informací správy kontinuity podnikových procesů | Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | 1.0.0 |
IRS 1075 Září 2016
Informace o tom, jak se dostupné integrované služby Azure Policy mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – IRS 1075 září 2016. Další informace o této normě dodržování předpisů najdete v tématu IRS 1075 Září 2016.
ISO 27001:2013
Informace o tom, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů azure Policy – ISO 27001:2013. Další informace o této normě dodržování předpisů naleznete v tématu ISO 27001:2013.
Důvěrné zásady standardních hodnot suverenity pro Microsoft Cloud for Sovereignty
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů azure Policy pro důvěrné zásady standardních hodnot suverenity MCfS. Další informace o tomto standardu dodržování předpisů najdete v portfoliu zásad suverenity společnosti Microsoft Cloud.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| SO.3 – Klíče spravované zákazníkem | SO.3 | Produkty Azure musí být nakonfigurované tak, aby používaly klíče spravované zákazníkem, pokud je to možné. | Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. | 1.0.0 |
| SO.4 – Důvěrné výpočetní prostředí Azure | SO.4 | Pokud je to možné, musí být produkty Azure nakonfigurované tak, aby používaly skladové položky Azure Confidential Computing. | Povolené skladové položky velikosti virtuálních počítačů | 1.0.1 |
Globální zásady standardních hodnot suverenity pro Microsoft Cloud pro suverenitu
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, projděte si podrobnosti o dodržování právních předpisů azure Policy pro globální zásady standardních hodnot suverenity MCfS. Další informace o tomto standardu dodržování předpisů najdete v portfoliu zásad suverenity společnosti Microsoft Cloud.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| SO.5 – Důvěryhodné spuštění | SO.5 | Pokud je to možné, měly by být virtuální počítače nakonfigurované se skladovými jednotkami Trusted Launch a důvěryhodným spuštěním. | Disky a image operačního systému by měly podporovat TrustedLaunch | 1.0.0 |
| SO.5 – Důvěryhodné spuštění | SO.5 | Pokud je to možné, měly by být virtuální počítače nakonfigurované se skladovými jednotkami Trusted Launch a důvěryhodným spuštěním. | Virtuální počítač by měl mít povolenou funkci TrustedLaunch. | 1.0.0 |
Srovnávací test zabezpečení cloudu Microsoftu
Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Pokud chcete zjistit, jak se tato služba kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na soubory mapování srovnávacích testů zabezpečení Azure.
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů azure Policy – srovnávací test zabezpečení cloudu Microsoftu.
NIST SP 800-171 R2
Informace o tom, jak se dostupné integrované služby Azure Policy mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů služby Azure Policy – NIST SP 800–171 R2. Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-171 R2.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Řízení přístupu | 3.1.1 | Omezte přístup k systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných systémů). | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| Řízení přístupu | 3.1.1 | Omezte přístup k systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných systémů). | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| Řízení přístupu | 3.1.1 | Omezte přístup k systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných systémů). | Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | 3.1.0 |
| Řízení přístupu | 3.1.1 | Omezte přístup k systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných systémů). | Auditování počítačů s Linuxem, které mají účty bez hesel | 3.1.0 |
| Řízení přístupu | 3.1.1 | Omezte přístup k systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných systémů). | Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | 3.2.0 |
| Řízení přístupu | 3.1.1 | Omezte přístup k systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných systémů). | Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | 3.1.0 |
| Řízení přístupu | 3.1.1 | Omezte přístup k systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných systémů). | Prostředky přístupu k diskům by měly používat privátní propojení | 1.0.0 |
| Řízení přístupu | 3.1.1 | Omezte přístup k systému autorizovaným uživatelům, procesům jménem autorizovaných uživatelů a zařízení (včetně jiných systémů). | Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | 1.0.0 |
| Řízení přístupu | 3.1.12 | Monitorování a řízení relací vzdáleného přístupu | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| Řízení přístupu | 3.1.12 | Monitorování a řízení relací vzdáleného přístupu | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| Řízení přístupu | 3.1.12 | Monitorování a řízení relací vzdáleného přístupu | Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | 3.1.0 |
| Řízení přístupu | 3.1.12 | Monitorování a řízení relací vzdáleného přístupu | Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | 3.1.0 |
| Řízení přístupu | 3.1.12 | Monitorování a řízení relací vzdáleného přístupu | Prostředky přístupu k diskům by měly používat privátní propojení | 1.0.0 |
| Řízení přístupu | 3.1.13 | Používejte kryptografické mechanismy k ochraně důvěrnosti relací vzdáleného přístupu. | Prostředky přístupu k diskům by měly používat privátní propojení | 1.0.0 |
| Řízení přístupu | 3.1.14 | Směrování vzdáleného přístupu prostřednictvím spravovaných přístupových kontrolních bodů | Prostředky přístupu k diskům by měly používat privátní propojení | 1.0.0 |
| Řízení přístupu | 3.1.2 | Omezte systémový přístup k typům transakcí a funkcí, které mají oprávnění uživatelé spouštět. | Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | 1.0.0 |
| Řízení přístupu | 3.1.3 | Řízení toku CUI v souladu se schválenými autorizací. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| Řízení přístupu | 3.1.3 | Řízení toku CUI v souladu se schválenými autorizací. | Prostředky přístupu k diskům by měly používat privátní propojení | 1.0.0 |
| Řízení přístupu | 3.1.3 | Řízení toku CUI v souladu se schválenými autorizací. | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| Řízení přístupu | 3.1.3 | Řízení toku CUI v souladu se schválenými autorizací. | Předávání IP na virtuálním počítači by mělo být zakázané. | 3.0.0 |
| Řízení přístupu | 3.1.3 | Řízení toku CUI v souladu se schválenými autorizací. | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| Řízení přístupu | 3.1.3 | Řízení toku CUI v souladu se schválenými autorizací. | Porty pro správu by měly být na virtuálních počítačích zavřené. | 3.0.0 |
| Řízení přístupu | 3.1.3 | Řízení toku CUI v souladu se schválenými autorizací. | Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| Řízení přístupu | 3.1.4 | Oddělte povinnosti jednotlivců, aby se snížilo riziko zlovolné činnosti bez koluze. | Auditovat počítače s Windows, u které chybí některý ze zadaných členů ve skupině Administrators | 2.0.0 |
| Řízení přístupu | 3.1.4 | Oddělte povinnosti jednotlivců, aby se snížilo riziko zlovolné činnosti bez koluze. | Auditování počítačů s Windows se zadanými členy ve skupině Administrators | 2.0.0 |
| Hodnocení rizika | 3.11.2 | Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| Hodnocení rizika | 3.11.2 | Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace. | Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích | 1.0.0 |
| Hodnocení rizika | 3.11.2 | Pravidelně kontrolujte ohrožení zabezpečení v organizačních systémech a aplikacích a v případě zjištění nových ohrožení zabezpečení ovlivňujících tyto systémy a aplikace. | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| Hodnocení rizika | 3.11.3 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| Hodnocení rizika | 3.11.3 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Vyřešené zjištění ohrožení zabezpečení u SQL serverů na počítačích | 1.0.0 |
| Hodnocení rizika | 3.11.3 | Opravte ohrožení zabezpečení v souladu s posouzeními rizik. | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| System and Communications Protection | 3.13.1 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| System and Communications Protection | 3.13.1 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Prostředky přístupu k diskům by měly používat privátní propojení | 1.0.0 |
| System and Communications Protection | 3.13.1 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | 3.13.1 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Předávání IP na virtuálním počítači by mělo být zakázané. | 3.0.0 |
| System and Communications Protection | 3.13.1 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| System and Communications Protection | 3.13.1 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Porty pro správu by měly být na virtuálních počítačích zavřené. | 3.0.0 |
| System and Communications Protection | 3.13.1 | Monitorujte, kontrolujte a chraňte komunikaci (tj. informace přenášené nebo přijaté organizačními systémy) na vnějších hranicích a klíčových vnitřních hranicích organizačních systémů. | Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | 3.13.10 | Vytvoření a správa kryptografických klíčů pro kryptografii používané v organizačních systémech | Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. | 1.0.0 |
| System and Communications Protection | 3.13.10 | Vytvoření a správa kryptografických klíčů pro kryptografii používané v organizačních systémech | Disky s operačním systémem a datovými disky by měly být šifrované pomocí klíče spravovaného zákazníkem. | 3.0.0 |
| System and Communications Protection | 3.13.16 | Ochrana důvěrnosti CUI v klidovém stavu. | Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. | 1.0.0 |
| System and Communications Protection | 3.13.2 | Používejte architektonické návrhy, techniky vývoje softwaru a zásady přípravy systémů, které podporují efektivní zabezpečení informací v rámci organizačních systémů. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| System and Communications Protection | 3.13.2 | Používejte architektonické návrhy, techniky vývoje softwaru a zásady přípravy systémů, které podporují efektivní zabezpečení informací v rámci organizačních systémů. | Prostředky přístupu k diskům by měly používat privátní propojení | 1.0.0 |
| System and Communications Protection | 3.13.2 | Používejte architektonické návrhy, techniky vývoje softwaru a zásady přípravy systémů, které podporují efektivní zabezpečení informací v rámci organizačních systémů. | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | 3.13.2 | Používejte architektonické návrhy, techniky vývoje softwaru a zásady přípravy systémů, které podporují efektivní zabezpečení informací v rámci organizačních systémů. | Předávání IP na virtuálním počítači by mělo být zakázané. | 3.0.0 |
| System and Communications Protection | 3.13.2 | Používejte architektonické návrhy, techniky vývoje softwaru a zásady přípravy systémů, které podporují efektivní zabezpečení informací v rámci organizačních systémů. | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| System and Communications Protection | 3.13.2 | Používejte architektonické návrhy, techniky vývoje softwaru a zásady přípravy systémů, které podporují efektivní zabezpečení informací v rámci organizačních systémů. | Porty pro správu by měly být na virtuálních počítačích zavřené. | 3.0.0 |
| System and Communications Protection | 3.13.2 | Používejte architektonické návrhy, techniky vývoje softwaru a zásady přípravy systémů, které podporují efektivní zabezpečení informací v rámci organizačních systémů. | Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | 3.13.5 | Implementujte podsítě pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| System and Communications Protection | 3.13.5 | Implementujte podsítě pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. | Prostředky přístupu k diskům by měly používat privátní propojení | 1.0.0 |
| System and Communications Protection | 3.13.5 | Implementujte podsítě pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | 3.13.5 | Implementujte podsítě pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. | Předávání IP na virtuálním počítači by mělo být zakázané. | 3.0.0 |
| System and Communications Protection | 3.13.5 | Implementujte podsítě pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| System and Communications Protection | 3.13.5 | Implementujte podsítě pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. | Porty pro správu by měly být na virtuálních počítačích zavřené. | 3.0.0 |
| System and Communications Protection | 3.13.5 | Implementujte podsítě pro veřejně přístupné systémové komponenty, které jsou fyzicky nebo logicky oddělené od interních sítí. | Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | 3.13.6 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| System and Communications Protection | 3.13.6 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | 3.13.6 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| System and Communications Protection | 3.13.6 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Porty pro správu by měly být na virtuálních počítačích zavřené. | 3.0.0 |
| System and Communications Protection | 3.13.6 | Zakázat provoz síťové komunikace ve výchozím nastavení a povolit síťový provoz komunikace výjimkou (tj. odepřít vše, povolit výjimkou). | Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| System and Communications Protection | 3.13.8 | Implementujte kryptografické mechanismy, které brání neoprávněnému zpřístupnění CUI během přenosu, pokud nejsou jinak chráněny alternativními fyzickými bezpečnostními opatřeními. | Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | 4.1.1 |
| Integrita systému a informací | 3.14.1 | Umožňuje včas identifikovat, hlásit a opravit chyby systému. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| Integrita systému a informací | 3.14.1 | Umožňuje včas identifikovat, hlásit a opravit chyby systému. | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| Integrita systému a informací | 3.14.1 | Umožňuje včas identifikovat, hlásit a opravit chyby systému. | Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | 2.0.0 |
| Integrita systému a informací | 3.14.2 | Zajistěte ochranu před škodlivým kódem v určených umístěních v rámci organizačních systémů. | Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | 1.0.0 |
| Integrita systému a informací | 3.14.2 | Zajistěte ochranu před škodlivým kódem v určených umístěních v rámci organizačních systémů. | Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows | 1.1.0 |
| Integrita systému a informací | 3.14.2 | Zajistěte ochranu před škodlivým kódem v určených umístěních v rámci organizačních systémů. | Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | 2.0.0 |
| Integrita systému a informací | 3.14.4 | Aktualizujte mechanismy ochrany škodlivého kódu, pokud jsou k dispozici nové verze. | Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | 1.0.0 |
| Integrita systému a informací | 3.14.4 | Aktualizujte mechanismy ochrany škodlivého kódu, pokud jsou k dispozici nové verze. | Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows | 1.1.0 |
| Integrita systému a informací | 3.14.4 | Aktualizujte mechanismy ochrany škodlivého kódu, pokud jsou k dispozici nové verze. | Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | 2.0.0 |
| Integrita systému a informací | 3.14.5 | Proveďte pravidelné kontroly organizačních systémů a kontroly souborů z externích zdrojů v reálném čase, protože se stahují, otevírají nebo spouštějí. | Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | 1.0.0 |
| Integrita systému a informací | 3.14.5 | Proveďte pravidelné kontroly organizačních systémů a kontroly souborů z externích zdrojů v reálném čase, protože se stahují, otevírají nebo spouštějí. | Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows | 1.1.0 |
| Integrita systému a informací | 3.14.5 | Proveďte pravidelné kontroly organizačních systémů a kontroly souborů z externích zdrojů v reálném čase, protože se stahují, otevírají nebo spouštějí. | Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | 2.0.0 |
| Integrita systému a informací | 3.14.6 | Monitorujte organizační systémy, včetně příchozího a odchozího komunikačního provozu, a detekujte útoky a indikátory potenciálních útoků. | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | 1.0.2-preview |
| Integrita systému a informací | 3.14.6 | Monitorujte organizační systémy, včetně příchozího a odchozího komunikačního provozu, a detekujte útoky a indikátory potenciálních útoků. | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | 1.0.2-preview |
| Integrita systému a informací | 3.14.6 | Monitorujte organizační systémy, včetně příchozího a odchozího komunikačního provozu, a detekujte útoky a indikátory potenciálních útoků. | Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | 1.0.3 |
| Integrita systému a informací | 3.14.6 | Monitorujte organizační systémy, včetně příchozího a odchozího komunikačního provozu, a detekujte útoky a indikátory potenciálních útoků. | Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | 1.0.1 |
| Integrita systému a informací | 3.14.7 | Identifikace neoprávněného použití organizačních systémů | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | 1.0.2-preview |
| Integrita systému a informací | 3.14.7 | Identifikace neoprávněného použití organizačních systémů | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | 1.0.2-preview |
| Integrita systému a informací | 3.14.7 | Identifikace neoprávněného použití organizačních systémů | Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | 1.0.3 |
| Integrita systému a informací | 3.14.7 | Identifikace neoprávněného použití organizačních systémů | Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | 1.0.1 |
| Audit a odpovědnost | 3.3.1 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k zajištění monitorování, analýzy, vyšetřování a hlášení protiprávních nebo neoprávněných systémových aktivit | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | 1.0.2-preview |
| Audit a odpovědnost | 3.3.1 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k zajištění monitorování, analýzy, vyšetřování a hlášení protiprávních nebo neoprávněných systémových aktivit | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | 1.0.2-preview |
| Audit a odpovědnost | 3.3.1 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k zajištění monitorování, analýzy, vyšetřování a hlášení protiprávních nebo neoprávněných systémových aktivit | Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | 1.0.3 |
| Audit a odpovědnost | 3.3.1 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k zajištění monitorování, analýzy, vyšetřování a hlášení protiprávních nebo neoprávněných systémových aktivit | Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | 1.0.1 |
| Audit a odpovědnost | 3.3.1 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k zajištění monitorování, analýzy, vyšetřování a hlášení protiprávních nebo neoprávněných systémových aktivit | Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. | 1.1.0 |
| Audit a odpovědnost | 3.3.1 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k zajištění monitorování, analýzy, vyšetřování a hlášení protiprávních nebo neoprávněných systémových aktivit | Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | 1.0.1 |
| Audit a odpovědnost | 3.3.1 | Vytvářet a uchovávat protokoly auditu systému a záznamy v rozsahu potřebném k zajištění monitorování, analýzy, vyšetřování a hlášení protiprávních nebo neoprávněných systémových aktivit | Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | 1.0.1 |
| Audit a odpovědnost | 3.3.2 | Zajistěte, aby akce jednotlivých systémových uživatelů byly jednoznačně trasovány těmto uživatelům, aby mohly být zodpovědné za jejich akce. | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | 1.0.2-preview |
| Audit a odpovědnost | 3.3.2 | Zajistěte, aby akce jednotlivých systémových uživatelů byly jednoznačně trasovány těmto uživatelům, aby mohly být zodpovědné za jejich akce. | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | 1.0.2-preview |
| Audit a odpovědnost | 3.3.2 | Zajistěte, aby akce jednotlivých systémových uživatelů byly jednoznačně trasovány těmto uživatelům, aby mohly být zodpovědné za jejich akce. | Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | 1.0.3 |
| Audit a odpovědnost | 3.3.2 | Zajistěte, aby akce jednotlivých systémových uživatelů byly jednoznačně trasovány těmto uživatelům, aby mohly být zodpovědné za jejich akce. | Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | 1.0.1 |
| Audit a odpovědnost | 3.3.2 | Zajistěte, aby akce jednotlivých systémových uživatelů byly jednoznačně trasovány těmto uživatelům, aby mohly být zodpovědné za jejich akce. | Virtuální počítače by měly být připojené k zadanému pracovnímu prostoru. | 1.1.0 |
| Audit a odpovědnost | 3.3.2 | Zajistěte, aby akce jednotlivých systémových uživatelů byly jednoznačně trasovány těmto uživatelům, aby mohly být zodpovědné za jejich akce. | Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | 1.0.1 |
| Audit a odpovědnost | 3.3.2 | Zajistěte, aby akce jednotlivých systémových uživatelů byly jednoznačně trasovány těmto uživatelům, aby mohly být zodpovědné za jejich akce. | Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | 1.0.1 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | 2.2.0 |
| Správa konfigurace | 3.4.1 | Vytvořte a udržujte základní konfigurace a inventáře organizačních systémů (včetně hardwaru, softwaru, firmwaru a dokumentace) v rámci příslušných životních cyklů vývoje systému. | Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. | 2.0.0 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | 2.2.0 |
| Správa konfigurace | 3.4.2 | Vytvořte a vynucujte nastavení konfigurace zabezpečení pro produkty informačních technologií používané v organizačních systémech. | Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. | 2.0.0 |
| Identifikace a ověřování | 3.5.10 | Ukládat a přenášet pouze kryptograficky chráněná hesla. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| Identifikace a ověřování | 3.5.10 | Ukládat a přenášet pouze kryptograficky chráněná hesla. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| Identifikace a ověřování | 3.5.10 | Ukládat a přenášet pouze kryptograficky chráněná hesla. | Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 | 3.1.0 |
| Identifikace a ověřování | 3.5.10 | Ukládat a přenášet pouze kryptograficky chráněná hesla. | Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | 2.0.0 |
| Identifikace a ověřování | 3.5.10 | Ukládat a přenášet pouze kryptograficky chráněná hesla. | Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | 3.1.0 |
| Identifikace a ověřování | 3.5.10 | Ukládat a přenášet pouze kryptograficky chráněná hesla. | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| Identifikace a ověřování | 3.5.10 | Ukládat a přenášet pouze kryptograficky chráněná hesla. | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | 3.0.0 |
| Identifikace a ověřování | 3.5.2 | Ověřte (nebo ověřte) identity uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k organizačním systémům. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| Identifikace a ověřování | 3.5.2 | Ověřte (nebo ověřte) identity uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k organizačním systémům. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| Identifikace a ověřování | 3.5.2 | Ověřte (nebo ověřte) identity uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k organizačním systémům. | Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 | 3.1.0 |
| Identifikace a ověřování | 3.5.2 | Ověřte (nebo ověřte) identity uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k organizačním systémům. | Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | 2.0.0 |
| Identifikace a ověřování | 3.5.2 | Ověřte (nebo ověřte) identity uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k organizačním systémům. | Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | 3.2.0 |
| Identifikace a ověřování | 3.5.2 | Ověřte (nebo ověřte) identity uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k organizačním systémům. | Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | 3.1.0 |
| Identifikace a ověřování | 3.5.2 | Ověřte (nebo ověřte) identity uživatelů, procesů nebo zařízení jako předpoklad pro povolení přístupu k organizačním systémům. | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| Identifikace a ověřování | 3.5.4 | Používejte mechanismy ověřování odolné proti přehrání pro síťový přístup k privilegovaným a neprivilegovaným účtům. | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Zabezpečení sítě. | 3.0.0 |
| Identifikace a ověřování | 3.5.7 | Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| Identifikace a ověřování | 3.5.7 | Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| Identifikace a ověřování | 3.5.7 | Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky. | Auditovat počítače s Windows, které nemají povolené nastavení složitosti hesla | 2.0.0 |
| Identifikace a ověřování | 3.5.7 | Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky. | Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků | 2.1.0 |
| Identifikace a ověřování | 3.5.7 | Při vytváření nových hesel vynucujte minimální složitost hesla a změňte znaky. | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| Identifikace a ověřování | 3.5.8 | Zakázat opakované použití hesla pro zadaný počet generací. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| Identifikace a ověřování | 3.5.8 | Zakázat opakované použití hesla pro zadaný počet generací. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| Identifikace a ověřování | 3.5.8 | Zakázat opakované použití hesla pro zadaný počet generací. | Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. | 2.1.0 |
| Identifikace a ověřování | 3.5.8 | Zakázat opakované použití hesla pro zadaný počet generací. | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| Ochrana médií | 3.8.9 | Ochrana důvěrnosti cui zálohování v umístěních úložiště. | Pro virtuální počítače by měla být povolená služba Azure Backup. | 3.0.0 |
NIST SP 800-53 Rev. 4
Informace o tom, jak jsou dostupné integrované služby Azure Policy pro všechny služby Azure mapované na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů služby Azure Policy – NIST SP 800-53 Rev. 4. Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-53 Rev. 4.
NIST SP 800-53 Rev. 5
Informace o tom, jak jsou dostupné integrované služby Azure Policy pro všechny služby Azure mapované na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů služby Azure Policy – NIST SP 800-53 Rev. 5. Další informace o této normě dodržování předpisů naleznete v tématu NIST SP 800-53 Rev. 5.
Motiv NL BIO Cloud
Pokud chcete zkontrolovat, jak dostupné předdefinované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy v tématu NL BIO Cloud. Další informace o této normě dodržování předpisů najdete v tématu Zabezpečení zabezpečení informací podle směrného plánu – digitální státní správa (digitaleoverheid.nl).
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| C.04.3 Technické správa ohrožení zabezpečení - Časové osy | C.04.3 | Pokud je pravděpodobnost zneužití a očekávané poškození obě vysoké, opravy se nainstalují nejpozději do týdne. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| C.04.3 Technické správa ohrožení zabezpečení - Časové osy | C.04.3 | Pokud je pravděpodobnost zneužití a očekávané poškození obě vysoké, opravy se nainstalují nejpozději do týdne. | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| C.04.3 Technické správa ohrožení zabezpečení - Časové osy | C.04.3 | Pokud je pravděpodobnost zneužití a očekávané poškození obě vysoké, opravy se nainstalují nejpozději do týdne. | Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | 2.0.0 |
| C.04.6 Technické správa ohrožení zabezpečení - Časové osy | C.04.6 | Technické nedostatky je možné napravit včas prováděním správy oprav. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| C.04.6 Technické správa ohrožení zabezpečení - Časové osy | C.04.6 | Technické nedostatky je možné napravit včas prováděním správy oprav. | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| C.04.6 Technické správa ohrožení zabezpečení - Časové osy | C.04.6 | Technické nedostatky je možné napravit včas prováděním správy oprav. | Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | 2.0.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| C.04.7 Technické správa ohrožení zabezpečení – vyhodnoceno | C.04.7 | Hodnocení technických ohrožení zabezpečení se zaznamenávají a hlásí. | Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | 2.0.0 |
| C.04.8 Technical správa ohrožení zabezpečení – vyhodnoceno | C.04.8 | Sestavy hodnocení obsahují návrhy na zlepšení a komunikují se správci/vlastníky. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| C.04.8 Technical správa ohrožení zabezpečení – vyhodnoceno | C.04.8 | Sestavy hodnocení obsahují návrhy na zlepšení a komunikují se správci/vlastníky. | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| U.03.1 Business Continuity Services – Redundance | U.03.1 | Dohodnutá kontinuita je zaručena dostatečně logickými nebo fyzicky více systémovými funkcemi. | Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | 1.0.0 |
| U.03.1 Business Continuity Services – Redundance | U.03.1 | Dohodnutá kontinuita je zaručena dostatečně logickými nebo fyzicky více systémovými funkcemi. | Pro virtuální počítače by měla být povolená služba Azure Backup. | 3.0.0 |
| U.03.2 Business Continuity Services – požadavky na kontinuitu | U.03.2 | Systémové architektury zajišťují požadavky na kontinuitu cloudových služeb odsouhlasené s CSC. | Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | 1.0.0 |
| U.03.2 Business Continuity Services – požadavky na kontinuitu | U.03.2 | Systémové architektury zajišťují požadavky na kontinuitu cloudových služeb odsouhlasené s CSC. | Pro virtuální počítače by měla být povolená služba Azure Backup. | 3.0.0 |
| U.04.1 Data and Cloud Service Recovery – funkce Restore | U.04.1 | Data a cloudové služby se obnovují v rámci schváleného období a maximální ztráty dat a zpřístupní se CSC. | Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | 1.0.0 |
| U.04.2 Data and Cloud Service Recovery – funkce Restore | U.04.2 | Monitoruje se nepřetržitý proces obnovitelné ochrany dat. | Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | 1.0.0 |
| U.04.3 Data a obnovení cloudové služby – testováno | U.04.3 | Funkce obnovení se pravidelně testují a výsledky se sdílí s CSC. | Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | 1.0.0 |
| Ochrana dat U.05.1 – Kryptografické míry | U.05.1 | Přenos dat je zabezpečený pomocí kryptografie, kde je správa klíčů prováděna samotným CSC, pokud je to možné. | Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | 4.1.1 |
| Ochrana dat U.05.2 – Kryptografické míry | U.05.2 | Data uložená v cloudové službě musí být chráněna před nejnovějším stavem umění. | [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem | 6.0.0-preview |
| Ochrana dat U.05.2 – Kryptografické míry | U.05.2 | Data uložená v cloudové službě musí být chráněna před nejnovějším stavem umění. | [Preview]: Rozšíření ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem. | 5.1.0-preview |
| Ochrana dat U.05.2 – Kryptografické míry | U.05.2 | Data uložená v cloudové službě musí být chráněna před nejnovějším stavem umění. | [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows. | 4.0.0-preview |
| Ochrana dat U.05.2 – Kryptografické míry | U.05.2 | Data uložená v cloudové službě musí být chráněna před nejnovějším stavem umění. | [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných škálovacích sadách virtuálních počítačů s Windows. | 3.1.0-preview |
| Ochrana dat U.05.2 – Kryptografické míry | U.05.2 | Data uložená v cloudové službě musí být chráněna před nejnovějším stavem umění. | [Preview]: Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění. | 4.0.0-preview |
| Ochrana dat U.05.2 – Kryptografické míry | U.05.2 | Data uložená v cloudové službě musí být chráněna před nejnovějším stavem umění. | [Preview]: Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích. | 2.0.0-preview |
| Ochrana dat U.05.2 – Kryptografické míry | U.05.2 | Data uložená v cloudové službě musí být chráněna před nejnovějším stavem umění. | Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. | 1.0.0 |
| Ochrana dat U.05.2 – Kryptografické míry | U.05.2 | Data uložená v cloudové službě musí být chráněna před nejnovějším stavem umění. | Disky s operačním systémem a datovými disky by měly být šifrované pomocí klíče spravovaného zákazníkem. | 3.0.0 |
| Ochrana dat U.05.2 – Kryptografické míry | U.05.2 | Data uložená v cloudové službě musí být chráněna před nejnovějším stavem umění. | Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. | 1.0.0 |
| Oddělení dat u.07.1 – izolované | U.07.1 | Trvalá izolace dat je architektura s více tenanty. Opravy jsou realizovány řízeným způsobem. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| Oddělení dat u.07.1 – izolované | U.07.1 | Trvalá izolace dat je architektura s více tenanty. Opravy jsou realizovány řízeným způsobem. | Prostředky přístupu k diskům by měly používat privátní propojení | 1.0.0 |
| Oddělení dat u.07.1 – izolované | U.07.1 | Trvalá izolace dat je architektura s více tenanty. Opravy jsou realizovány řízeným způsobem. | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| Oddělení dat u.07.1 – izolované | U.07.1 | Trvalá izolace dat je architektura s více tenanty. Opravy jsou realizovány řízeným způsobem. | Předávání IP na virtuálním počítači by mělo být zakázané. | 3.0.0 |
| Oddělení dat u.07.1 – izolované | U.07.1 | Trvalá izolace dat je architektura s více tenanty. Opravy jsou realizovány řízeným způsobem. | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| Oddělení dat u.07.1 – izolované | U.07.1 | Trvalá izolace dat je architektura s více tenanty. Opravy jsou realizovány řízeným způsobem. | Porty pro správu by měly být na virtuálních počítačích zavřené. | 3.0.0 |
| Oddělení dat u.07.1 – izolované | U.07.1 | Trvalá izolace dat je architektura s více tenanty. Opravy jsou realizovány řízeným způsobem. | Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| U.09.3 Malware Protection - Detekce, prevence a obnovení | U.09.3 | Ochrana proti malwaru běží v různých prostředích. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| U.09.3 Malware Protection - Detekce, prevence a obnovení | U.09.3 | Ochrana proti malwaru běží v různých prostředích. | Předávání IP na virtuálním počítači by mělo být zakázané. | 3.0.0 |
| U.09.3 Malware Protection - Detekce, prevence a obnovení | U.09.3 | Ochrana proti malwaru běží v různých prostředích. | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| U.09.3 Malware Protection - Detekce, prevence a obnovení | U.09.3 | Ochrana proti malwaru běží v různých prostředích. | Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | 2.0.0 |
| U.10.2 Přístup k IT službám a datům – Uživatelé | U.10.2 | V rámci odpovědnosti poskytovatele CSP je udělen přístup správcům. | Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | 3.1.0 |
| U.10.2 Přístup k IT službám a datům – Uživatelé | U.10.2 | V rámci odpovědnosti poskytovatele CSP je udělen přístup správcům. | Auditování počítačů s Linuxem, které mají účty bez hesel | 3.1.0 |
| U.10.2 Přístup k IT službám a datům – Uživatelé | U.10.2 | V rámci odpovědnosti poskytovatele CSP je udělen přístup správcům. | Audit virtuálních počítačů, které nepoužívají spravované disky | 1.0.0 |
| U.10.2 Přístup k IT službám a datům – Uživatelé | U.10.2 | V rámci odpovědnosti poskytovatele CSP je udělen přístup správcům. | Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | 1.0.0 |
| U.10.3 Přístup k IT službám a datům – Uživatelé | U.10.3 | K IT službám a datům mají přístup jenom uživatelé s ověřeným vybavením. | Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | 3.1.0 |
| U.10.3 Přístup k IT službám a datům – Uživatelé | U.10.3 | K IT službám a datům mají přístup jenom uživatelé s ověřeným vybavením. | Auditování počítačů s Linuxem, které mají účty bez hesel | 3.1.0 |
| U.10.3 Přístup k IT službám a datům – Uživatelé | U.10.3 | K IT službám a datům mají přístup jenom uživatelé s ověřeným vybavením. | Audit virtuálních počítačů, které nepoužívají spravované disky | 1.0.0 |
| U.10.3 Přístup k IT službám a datům – Uživatelé | U.10.3 | K IT službám a datům mají přístup jenom uživatelé s ověřeným vybavením. | Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | 1.0.0 |
| U.10.5 Přístup k IT službám a datům – příslušné | U.10.5 | Přístup k IT službám a datům je omezený technickými opatřeními a byl implementován. | Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | 3.1.0 |
| U.10.5 Přístup k IT službám a datům – příslušné | U.10.5 | Přístup k IT službám a datům je omezený technickými opatřeními a byl implementován. | Auditování počítačů s Linuxem, které mají účty bez hesel | 3.1.0 |
| U.10.5 Přístup k IT službám a datům – příslušné | U.10.5 | Přístup k IT službám a datům je omezený technickými opatřeními a byl implementován. | Audit virtuálních počítačů, které nepoužívají spravované disky | 1.0.0 |
| U.10.5 Přístup k IT službám a datům – příslušné | U.10.5 | Přístup k IT službám a datům je omezený technickými opatřeními a byl implementován. | Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | 1.0.0 |
| U.11.1 Cryptoservices - Zásady | U.11.1 | V kryptografické politice byly propracovany alespoň předměty v souladu s BIO. | Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | 2.0.0 |
| U.11.1 Cryptoservices - Zásady | U.11.1 | V kryptografické politice byly propracovany alespoň předměty v souladu s BIO. | Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | 4.1.1 |
| U.11.2 Cryptoservices – kryptografické míry | U.11.2 | V případě certifikátů PKIoverheid se pro správu klíčů používají požadavky PKIoverheid. V jiných situacích použijte ISO11770. | Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | 2.0.0 |
| U.11.2 Cryptoservices – kryptografické míry | U.11.2 | V případě certifikátů PKIoverheid se pro správu klíčů používají požadavky PKIoverheid. V jiných situacích použijte ISO11770. | Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | 4.1.1 |
| U.11.3 Cryptoservices - Encrypted | U.11.3 | Citlivá data se vždy šifrují s privátními klíči spravovanými CSC. | [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Linuxem | 6.0.0-preview |
| U.11.3 Cryptoservices - Encrypted | U.11.3 | Citlivá data se vždy šifrují s privátními klíči spravovanými CSC. | [Preview]: Rozšíření ověření identity hosta by se mělo nainstalovat na podporované škálovací sady virtuálních počítačů s Linuxem. | 5.1.0-preview |
| U.11.3 Cryptoservices - Encrypted | U.11.3 | Citlivá data se vždy šifrují s privátními klíči spravovanými CSC. | [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných virtuálních počítačích s Windows. | 4.0.0-preview |
| U.11.3 Cryptoservices - Encrypted | U.11.3 | Citlivá data se vždy šifrují s privátními klíči spravovanými CSC. | [Preview]: Rozšíření ověření identity hosta by mělo být nainstalované na podporovaných škálovacích sadách virtuálních počítačů s Windows. | 3.1.0-preview |
| U.11.3 Cryptoservices - Encrypted | U.11.3 | Citlivá data se vždy šifrují s privátními klíči spravovanými CSC. | [Preview]: Na podporovaných virtuálních počítačích s Windows by mělo být povolené zabezpečené spouštění. | 4.0.0-preview |
| U.11.3 Cryptoservices - Encrypted | U.11.3 | Citlivá data se vždy šifrují s privátními klíči spravovanými CSC. | [Preview]: Virtuální počítač vTPM by měl být povolený na podporovaných virtuálních počítačích. | 2.0.0-preview |
| U.11.3 Cryptoservices - Encrypted | U.11.3 | Citlivá data se vždy šifrují s privátními klíči spravovanými CSC. | Spravované disky by měly být dvakrát šifrované pomocí klíčů spravovaných platformou i klíčů spravovaných zákazníkem. | 1.0.0 |
| U.11.3 Cryptoservices - Encrypted | U.11.3 | Citlivá data se vždy šifrují s privátními klíči spravovanými CSC. | Disky s operačním systémem a datovými disky by měly být šifrované pomocí klíče spravovaného zákazníkem. | 3.0.0 |
| U.11.3 Cryptoservices - Encrypted | U.11.3 | Citlivá data se vždy šifrují s privátními klíči spravovanými CSC. | Virtuální počítače a škálovací sady virtuálních počítačů by měly mít povolené šifrování na hostiteli. | 1.0.0 |
| Rozhraní U.12.1 – Síťová připojení | U.12.1 | V spojovacích bodech s externími nebo nedůvěryhodnými zónami se provádějí opatření proti útokům. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| Rozhraní U.12.1 – Síťová připojení | U.12.1 | V spojovacích bodech s externími nebo nedůvěryhodnými zónami se provádějí opatření proti útokům. | Předávání IP na virtuálním počítači by mělo být zakázané. | 3.0.0 |
| Rozhraní U.12.2 – Síťová připojení | U.12.2 | Síťové komponenty jsou takové, aby síťová připojení mezi důvěryhodnými a nedůvěryhodnými sítěmi byla omezená. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| Rozhraní U.12.2 – Síťová připojení | U.12.2 | Síťové komponenty jsou takové, aby síťová připojení mezi důvěryhodnými a nedůvěryhodnými sítěmi byla omezená. | Předávání IP na virtuálním počítači by mělo být zakázané. | 3.0.0 |
| Protokolování a monitorování U.15.1 – Protokolované události | U.15.1 | Porušení pravidel zásad je zaznamenáno poskytovatelem CSP a CSC. | [Preview]: U uvedených imagí virtuálních počítačů by mělo být povolené rozšíření Log Analytics. | 2.0.1-preview |
| Protokolování a monitorování U.15.1 – Protokolované události | U.15.1 | Porušení pravidel zásad je zaznamenáno poskytovatelem CSP a CSC. | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | 1.0.2-preview |
| Protokolování a monitorování U.15.1 – Protokolované události | U.15.1 | Porušení pravidel zásad je zaznamenáno poskytovatelem CSP a CSC. | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | 1.0.2-preview |
| Protokolování a monitorování U.15.1 – Protokolované události | U.15.1 | Porušení pravidel zásad je zaznamenáno poskytovatelem CSP a CSC. | U uvedených imagí virtuálních počítačů by měl být povolený agent závislostí. | 2.0.0 |
| Protokolování a monitorování U.15.1 – Protokolované události | U.15.1 | Porušení pravidel zásad je zaznamenáno poskytovatelem CSP a CSC. | Ve škálovacích sadách virtuálních počítačů by měl být povolený agent závislostí pro uvedené image virtuálních počítačů. | 2.0.0 |
| Protokolování a monitorování U.15.1 – Protokolované události | U.15.1 | Porušení pravidel zásad je zaznamenáno poskytovatelem CSP a CSC. | Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | 1.0.3 |
| Protokolování a monitorování U.15.1 – Protokolované události | U.15.1 | Porušení pravidel zásad je zaznamenáno poskytovatelem CSP a CSC. | Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. | 2.0.1 |
| Protokolování a monitorování U.15.1 – Protokolované události | U.15.1 | Porušení pravidel zásad je zaznamenáno poskytovatelem CSP a CSC. | Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | 1.0.1 |
| Protokolování a monitorování U.15.3 – Protokolované události | U.15.3 | CSP udržuje seznam všech prostředků, které jsou důležité z hlediska protokolování a monitorování a kontroly tohoto seznamu. | [Preview]: U uvedených imagí virtuálních počítačů by mělo být povolené rozšíření Log Analytics. | 2.0.1-preview |
| Protokolování a monitorování U.15.3 – Protokolované události | U.15.3 | CSP udržuje seznam všech prostředků, které jsou důležité z hlediska protokolování a monitorování a kontroly tohoto seznamu. | U uvedených imagí virtuálních počítačů by měl být povolený agent závislostí. | 2.0.0 |
| Protokolování a monitorování U.15.3 – Protokolované události | U.15.3 | CSP udržuje seznam všech prostředků, které jsou důležité z hlediska protokolování a monitorování a kontroly tohoto seznamu. | Ve škálovacích sadách virtuálních počítačů by měl být povolený agent závislostí pro uvedené image virtuálních počítačů. | 2.0.0 |
| Protokolování a monitorování U.15.3 – Protokolované události | U.15.3 | CSP udržuje seznam všech prostředků, které jsou důležité z hlediska protokolování a monitorování a kontroly tohoto seznamu. | Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. | 2.0.1 |
| Architektura více tenantů U.17.1 – Šifrované | U.17.1 | Data CSC pro přenos a neaktivní uložená data se šifrují. | Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | 1.0.0 |
| Architektura více tenantů U.17.1 – Šifrované | U.17.1 | Data CSC pro přenos a neaktivní uložená data se šifrují. | Pro virtuální počítače by měla být povolená služba Azure Backup. | 3.0.0 |
PCI DSS 3.2.1
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma PCI DSS 3.2.1. Další informace o této normě dodržování předpisů naleznete v tématu PCI DSS 3.2.1.
PCI DSS v4.0
Pokud chcete zkontrolovat, jak dostupné předdefinované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy pro PCI DSS v4.0. Další informace o této normě dodržování předpisů najdete v tématu PCI DSS v4.0.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| Požadavek 01: Instalace a údržba bezpečnostních prvků sítě | 1.3.2 | Síťový přístup k datovému prostředí a z datového prostředí držitelů karet je omezený. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| Požadavek 01: Instalace a údržba bezpečnostních prvků sítě | 1.4.2 | Síťová připojení mezi důvěryhodnými a nedůvěryhodnými sítěmi se řídí. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| Požadavek 10: Protokolování a monitorování veškerého přístupu k systémovým komponentám a datům držitelů karet | 10.2.2 | Protokoly auditu se implementují tak, aby podporovaly detekci anomálií a podezřelých aktivit a forenzní analýzu událostí. | Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | 1.0.0 |
| Požadavek 10: Protokolování a monitorování veškerého přístupu k systémovým komponentám a datům držitelů karet | 10.3.3 | Protokoly auditu jsou chráněné před zničením a neoprávněnými úpravami. | Virtuální počítače by se měly migrovat na nové prostředky Azure Resource Manageru. | 1.0.0 |
| Požadavek 11: Pravidelné testování zabezpečení systémů a sítí | 11.3.1 | Externí a interní ohrožení zabezpečení se pravidelně identifikují, upřednostňují a řeší | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| Požadavek 11: Pravidelné testování zabezpečení systémů a sítí | 11.3.1 | Externí a interní ohrožení zabezpečení se pravidelně identifikují, upřednostňují a řeší | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| Požadavek 05: Ochrana všech systémů a sítí před škodlivým softwarem | 5.2.1 | Škodlivý software (malware) je zabráněný nebo zjištěný a vyřešený | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| Požadavek 05: Ochrana všech systémů a sítí před škodlivým softwarem | 5.2.1 | Škodlivý software (malware) je zabráněný nebo zjištěný a vyřešený | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| Požadavek 05: Ochrana všech systémů a sítí před škodlivým softwarem | 5.2.2 | Škodlivý software (malware) je zabráněný nebo zjištěný a vyřešený | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| Požadavek 05: Ochrana všech systémů a sítí před škodlivým softwarem | 5.2.2 | Škodlivý software (malware) je zabráněný nebo zjištěný a vyřešený | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| Požadavek 05: Ochrana všech systémů a sítí před škodlivým softwarem | 5.2.3 | Škodlivý software (malware) je zabráněný nebo zjištěný a vyřešený | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| Požadavek 05: Ochrana všech systémů a sítí před škodlivým softwarem | 5.2.3 | Škodlivý software (malware) je zabráněný nebo zjištěný a vyřešený | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| Požadavek 06: Vývoj a údržba zabezpečených systémů a softwaru | 6.3.3 | Zjištěná a adresovaná ohrožení zabezpečení | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| Požadavek 06: Vývoj a údržba zabezpečených systémů a softwaru | 6.3.3 | Zjištěná a adresovaná ohrožení zabezpečení | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| Požadavek 06: Vývoj a údržba zabezpečených systémů a softwaru | 6.4.1 | Veřejné webové aplikace jsou chráněné proti útokům | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| Požadavek 06: Vývoj a údržba zabezpečených systémů a softwaru | 6.4.1 | Veřejné webové aplikace jsou chráněné proti útokům | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| Požadavek 08: Identifikace uživatelů a ověření přístupu k systémovým komponentám | 8.3.6 | Silné ověřování pro uživatele a správce je vytvořeno a spravováno | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| Požadavek 08: Identifikace uživatelů a ověření přístupu k systémovým komponentám | 8.3.6 | Silné ověřování pro uživatele a správce je vytvořeno a spravováno | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| Požadavek 08: Identifikace uživatelů a ověření přístupu k systémovým komponentám | 8.3.6 | Silné ověřování pro uživatele a správce je vytvořeno a spravováno | Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. | 2.1.0 |
| Požadavek 08: Identifikace uživatelů a ověření přístupu k systémovým komponentám | 8.3.6 | Silné ověřování pro uživatele a správce je vytvořeno a spravováno | Auditování počítačů s Windows, které nemají maximální stáří hesla nastavené na zadaný počet dnů | 2.1.0 |
| Požadavek 08: Identifikace uživatelů a ověření přístupu k systémovým komponentám | 8.3.6 | Silné ověřování pro uživatele a správce je vytvořeno a spravováno | Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků | 2.1.0 |
| Požadavek 08: Identifikace uživatelů a ověření přístupu k systémovým komponentám | 8.3.6 | Silné ověřování pro uživatele a správce je vytvořeno a spravováno | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
Reserve Bank of India - IT Framework for NBFC
Pokud chcete zkontrolovat, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů služby Azure Policy – Reserve Bank of India – IT Framework pro NBFC. Další informace o této normě dodržování předpisů naleznete v tématu Reserve Bank of India - IT Framework for NBFC.
Reserve Bank of India IT Framework for Banks v2016
Informace o tom, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – RBI ITF Banks v2016. Další informace o této normě dodržování předpisů najdete v tématu RBI ITF Banks v2016 (PDF).
RMIT Malajsie
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si téma Dodržování právních předpisů Azure Policy – RMIT Malajsie. Další informace o této normě dodržování předpisů naleznete v tématu RMIT Malajsie.
Španělsko ENS
Pokud chcete zkontrolovat, jak dostupné předdefinované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy pro Španělsko ENS. Další informace o této normě dodržování předpisů najdete v tématu CCN-STIC 884.
SWIFT CSP-CSCF v2021
Informace o tom, jak jsou dostupné integrované služby Azure Policy pro všechny služby Azure mapované na tento standard dodržování předpisů, najdete v podrobnostech o dodržování právních předpisů azure Policy pro SWIFT CSP-CSCF v2021. Další informace o této normě dodržování předpisů najdete v tématu SWIFT CSP CSCF v2021.
SWIFT CSP-CSCF v2022
Pokud chcete zkontrolovat, jak dostupné integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy pro SWIFT CSP-CSCF v2022. Další informace o tomto standardu dodržování předpisů najdete v tématu SWIFT CSP CSCF v2022.
| Doména | ID ovládacího prvku | Název ovládacího prvku | Zásady (Azure Portal) |
Verze zásad (GitHub) |
|---|---|---|---|---|
| 1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím | 1,1 | Zajistěte ochranu místní infrastruktury SWIFT uživatele před potenciálně ohroženými prvky obecného IT prostředí a externího prostředí. | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | 1.0.2-preview |
| 1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím | 1,1 | Zajistěte ochranu místní infrastruktury SWIFT uživatele před potenciálně ohroženými prvky obecného IT prostředí a externího prostředí. | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | 1.0.2-preview |
| 1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím | 1,1 | Zajistěte ochranu místní infrastruktury SWIFT uživatele před potenciálně ohroženými prvky obecného IT prostředí a externího prostředí. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| 1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím | 1,1 | Zajistěte ochranu místní infrastruktury SWIFT uživatele před potenciálně ohroženými prvky obecného IT prostředí a externího prostředí. | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| 1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím | 1,1 | Zajistěte ochranu místní infrastruktury SWIFT uživatele před potenciálně ohroženými prvky obecného IT prostředí a externího prostředí. | Předávání IP na virtuálním počítači by mělo být zakázané. | 3.0.0 |
| 1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím | 1.2 | Omezte a kontrolujte přidělování a používání účtů operačního systému na úrovni správce. | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| 1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím | 1.3 | Zabezpečte virtualizační platformu a virtuální počítače, které hostují komponenty související se SWIFTem na stejné úrovni jako fyzické systémy. | Audit virtuálních počítačů, které nepoužívají spravované disky | 1.0.0 |
| 1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím | 1.4 | Řízení/ochrana přístupu k internetu před počítači a systémy operátorů v rámci zabezpečené zóny. | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| 1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím | 1.4 | Řízení/ochrana přístupu k internetu před počítači a systémy operátorů v rámci zabezpečené zóny. | Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| 1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím | 1.5A | Zajistěte ochranu infrastruktury připojení zákazníka před externím prostředím a potenciálně ohroženými prvky obecného IT prostředí. | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | 1.0.2-preview |
| 1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím | 1.5A | Zajistěte ochranu infrastruktury připojení zákazníka před externím prostředím a potenciálně ohroženými prvky obecného IT prostředí. | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | 1.0.2-preview |
| 1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím | 1.5A | Zajistěte ochranu infrastruktury připojení zákazníka před externím prostředím a potenciálně ohroženými prvky obecného IT prostředí. | Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | 3.0.0 |
| 1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím | 1.5A | Zajistěte ochranu infrastruktury připojení zákazníka před externím prostředím a potenciálně ohroženými prvky obecného IT prostředí. | Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | 3.0.0 |
| 1. Omezit přístup k internetu a chránit kritické systémy před obecným IT prostředím | 1.5A | Zajistěte ochranu infrastruktury připojení zákazníka před externím prostředím a potenciálně ohroženými prvky obecného IT prostředí. | Předávání IP na virtuálním počítači by mělo být zakázané. | 3.0.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.1 | Zajistěte důvěrnost, integritu a pravost toků aplikačních dat mezi místními komponentami souvisejícími se SWIFTem. | Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | 3.2.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.1 | Zajistěte důvěrnost, integritu a pravost toků aplikačních dat mezi místními komponentami souvisejícími se SWIFTem. | Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | 4.1.1 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2,2 | Minimalizujte výskyt známých technických ohrožení zabezpečení na počítačích operátorů a v rámci místní infrastruktury SWIFT zajištěním podpory dodavatelů, použitím povinných aktualizací softwaru a použitím včasných aktualizací zabezpečení v souladu s hodnoceným rizikem. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2,2 | Minimalizujte výskyt známých technických ohrožení zabezpečení na počítačích operátorů a v rámci místní infrastruktury SWIFT zajištěním podpory dodavatelů, použitím povinných aktualizací softwaru a použitím včasných aktualizací zabezpečení v souladu s hodnoceným rizikem. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2,2 | Minimalizujte výskyt známých technických ohrožení zabezpečení na počítačích operátorů a v rámci místní infrastruktury SWIFT zajištěním podpory dodavatelů, použitím povinných aktualizací softwaru a použitím včasných aktualizací zabezpečení v souladu s hodnoceným rizikem. | Auditování virtuálních počítačů s Windows s čekající restartováním | 2.0.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2,2 | Minimalizujte výskyt známých technických ohrožení zabezpečení na počítačích operátorů a v rámci místní infrastruktury SWIFT zajištěním podpory dodavatelů, použitím povinných aktualizací softwaru a použitím včasných aktualizací zabezpečení v souladu s hodnoceným rizikem. | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.3 | Snižte prostor pro kybernetický útok komponent souvisejících se swiftem tím, že provádíte posílení systému. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.3 | Snižte prostor pro kybernetický útok komponent souvisejících se swiftem tím, že provádíte posílení systému. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.3 | Snižte prostor pro kybernetický útok komponent souvisejících se swiftem tím, že provádíte posílení systému. | Auditování počítačů s Linuxem, které nemají nastavená oprávnění k souboru passwd nastavená na 0644 | 3.1.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.3 | Snižte prostor pro kybernetický útok komponent souvisejících se swiftem tím, že provádíte posílení systému. | Auditovat počítače s Windows, které obsahují certifikáty, jejichž platnost vyprší během zadaného počtu dnů | 2.0.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.3 | Snižte prostor pro kybernetický útok komponent souvisejících se swiftem tím, že provádíte posílení systému. | Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | 2.0.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.3 | Snižte prostor pro kybernetický útok komponent souvisejících se swiftem tím, že provádíte posílení systému. | Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | 3.1.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.3 | Snižte prostor pro kybernetický útok komponent souvisejících se swiftem tím, že provádíte posílení systému. | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.3 | Snižte prostor pro kybernetický útok komponent souvisejících se swiftem tím, že provádíte posílení systému. | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.4A | Zabezpečení Tok dat back-office | Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | 3.2.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.4A | Zabezpečení Tok dat back-office | Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | 4.1.1 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.5A | Ochrana dat externího přenosu | Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | 1.0.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.5A | Ochrana dat externího přenosu | Audit virtuálních počítačů, které nepoužívají spravované disky | 1.0.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.5A | Ochrana dat externího přenosu | Pro virtuální počítače by měla být povolená služba Azure Backup. | 3.0.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.6 | Ochrana důvěrnosti a integrity relací interaktivních operátorů, které se připojují k místní nebo vzdálené (provozované poskytovatelem služeb) infrastruktury SWIFT nebo aplikacím souvisejících s poskytovatelem služeb SWIFT | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.6 | Ochrana důvěrnosti a integrity relací interaktivních operátorů, které se připojují k místní nebo vzdálené (provozované poskytovatelem služeb) infrastruktury SWIFT nebo aplikacím souvisejících s poskytovatelem služeb SWIFT | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.6 | Ochrana důvěrnosti a integrity relací interaktivních operátorů, které se připojují k místní nebo vzdálené (provozované poskytovatelem služeb) infrastruktury SWIFT nebo aplikacím souvisejících s poskytovatelem služeb SWIFT | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.6 | Ochrana důvěrnosti a integrity relací interaktivních operátorů, které se připojují k místní nebo vzdálené (provozované poskytovatelem služeb) infrastruktury SWIFT nebo aplikacím souvisejících s poskytovatelem služeb SWIFT | Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | 4.1.1 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.6 | Ochrana důvěrnosti a integrity relací interaktivních operátorů, které se připojují k místní nebo vzdálené (provozované poskytovatelem služeb) infrastruktury SWIFT nebo aplikacím souvisejících s poskytovatelem služeb SWIFT | Počítače s Windows by měly splňovat požadavky na možnosti zabezpečení – Interaktivní přihlášení | 3.0.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.7 | Identifikujte známá ohrožení zabezpečení v místním prostředí SWIFT implementací běžného procesu kontroly ohrožení zabezpečení a reakce na výsledky. | Na virtuálních počítačích by mělo být povolené řešení posouzení ohrožení zabezpečení. | 3.0.0 |
| 2. Omezení prostoru pro útoky a ohrožení zabezpečení | 2.7 | Identifikujte známá ohrožení zabezpečení v místním prostředí SWIFT implementací běžného procesu kontroly ohrožení zabezpečení a reakce na výsledky. | Měla by se napravit ohrožení zabezpečení v konfiguraci zabezpečení na vašich počítačích. | 3.1.0 |
| 3. Fyzické zabezpečení prostředí | 3.1 | Zabraňte neoprávněnému fyzickému přístupu k citlivým zařízením, prostředím na pracovišti, hostitelským webům a úložišti. | Audit virtuálních počítačů, které nepoužívají spravované disky | 1.0.0 |
| 4. Zabránit ohrožení zabezpečení přihlašovacích údajů | 4.1 | Zajistěte, aby hesla byla dostatečně odolná proti běžným útokům na hesla tím, že implementuje a vynucuje efektivní zásady hesel. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| 4. Zabránit ohrožení zabezpečení přihlašovacích údajů | 4.1 | Zajistěte, aby hesla byla dostatečně odolná proti běžným útokům na hesla tím, že implementuje a vynucuje efektivní zásady hesel. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| 4. Zabránit ohrožení zabezpečení přihlašovacích údajů | 4.1 | Zajistěte, aby hesla byla dostatečně odolná proti běžným útokům na hesla tím, že implementuje a vynucuje efektivní zásady hesel. | Auditování počítačů s Linuxem, které umožňují vzdálená připojení z účtů bez hesel | 3.1.0 |
| 4. Zabránit ohrožení zabezpečení přihlašovacích údajů | 4.1 | Zajistěte, aby hesla byla dostatečně odolná proti běžným útokům na hesla tím, že implementuje a vynucuje efektivní zásady hesel. | Auditování počítačů s Linuxem, které mají účty bez hesel | 3.1.0 |
| 4. Zabránit ohrožení zabezpečení přihlašovacích údajů | 4.1 | Zajistěte, aby hesla byla dostatečně odolná proti běžným útokům na hesla tím, že implementuje a vynucuje efektivní zásady hesel. | Auditujte počítače s Windows, které umožňují opakované použití hesel po zadaném počtu jedinečných hesel. | 2.1.0 |
| 4. Zabránit ohrožení zabezpečení přihlašovacích údajů | 4.1 | Zajistěte, aby hesla byla dostatečně odolná proti běžným útokům na hesla tím, že implementuje a vynucuje efektivní zásady hesel. | Auditování počítačů s Windows, které nemají maximální stáří hesla nastavené na zadaný počet dnů | 2.1.0 |
| 4. Zabránit ohrožení zabezpečení přihlašovacích údajů | 4.1 | Zajistěte, aby hesla byla dostatečně odolná proti běžným útokům na hesla tím, že implementuje a vynucuje efektivní zásady hesel. | Auditovat počítače s Windows, které nemají nastavený minimální věk hesla na zadaný počet dnů | 2.1.0 |
| 4. Zabránit ohrožení zabezpečení přihlašovacích údajů | 4.1 | Zajistěte, aby hesla byla dostatečně odolná proti běžným útokům na hesla tím, že implementuje a vynucuje efektivní zásady hesel. | Auditovat počítače s Windows, které nemají povolené nastavení složitosti hesla | 2.0.0 |
| 4. Zabránit ohrožení zabezpečení přihlašovacích údajů | 4.1 | Zajistěte, aby hesla byla dostatečně odolná proti běžným útokům na hesla tím, že implementuje a vynucuje efektivní zásady hesel. | Auditovat počítače s Windows, které neomezují minimální délku hesla na zadaný počet znaků | 2.1.0 |
| 4. Zabránit ohrožení zabezpečení přihlašovacích údajů | 4.1 | Zajistěte, aby hesla byla dostatečně odolná proti běžným útokům na hesla tím, že implementuje a vynucuje efektivní zásady hesel. | Nasazení rozšíření Konfigurace hosta s Linuxem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Linuxem | 3.1.0 |
| 4. Zabránit ohrožení zabezpečení přihlašovacích údajů | 4.1 | Zajistěte, aby hesla byla dostatečně odolná proti běžným útokům na hesla tím, že implementuje a vynucuje efektivní zásady hesel. | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| 5. Správa identit a oddělení oprávnění | 5,1 | Vynucujte zásady zabezpečení přístupu, nejnižších oprávnění a oddělení povinností pro účty operátorů. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| 5. Správa identit a oddělení oprávnění | 5,1 | Vynucujte zásady zabezpečení přístupu, nejnižších oprávnění a oddělení povinností pro účty operátorů. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| 5. Správa identit a oddělení oprávnění | 5,1 | Vynucujte zásady zabezpečení přístupu, nejnižších oprávnění a oddělení povinností pro účty operátorů. | Auditovat počítače s Windows, které obsahují certifikáty, jejichž platnost vyprší během zadaného počtu dnů | 2.0.0 |
| 5. Správa identit a oddělení oprávnění | 5,1 | Vynucujte zásady zabezpečení přístupu, nejnižších oprávnění a oddělení povinností pro účty operátorů. | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| 5. Správa identit a oddělení oprávnění | 5.2 | Zajistěte správnou správu, sledování a použití připojeného a odpojeného hardwarového ověřování nebo osobních tokenů (při použití tokenů). | Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | 3.0.0 |
| 5. Správa identit a oddělení oprávnění | 5.4 | Chraňte fyzicky a logicky úložiště zaznamenaných hesel. | Auditování počítačů s Windows, které neukládají hesla pomocí reverzibilního šifrování | 2.0.0 |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.1 | Zajistěte, aby byla místní infrastruktura SWIFT chráněná proti malwaru a aby fungovala s výsledky. | Microsoft Antimalware pro Azure by se měl nakonfigurovat tak, aby automaticky aktualizoval podpisy ochrany. | 1.0.0 |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.1 | Zajistěte, aby byla místní infrastruktura SWIFT chráněná proti malwaru a aby fungovala s výsledky. | Rozšíření Microsoft IaaSAntimalware by se mělo nasadit na servery s Windows | 1.1.0 |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.4 | Zaznamenejte události zabezpečení a detekujte neobvyklé akce a operace v místním prostředí SWIFT. | [Preview]: U uvedených imagí virtuálních počítačů by mělo být povolené rozšíření Log Analytics. | 2.0.1-preview |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.4 | Zaznamenejte události zabezpečení a detekujte neobvyklé akce a operace v místním prostředí SWIFT. | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | 1.0.2-preview |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.4 | Zaznamenejte události zabezpečení a detekujte neobvyklé akce a operace v místním prostředí SWIFT. | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | 1.0.2-preview |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.4 | Zaznamenejte události zabezpečení a detekujte neobvyklé akce a operace v místním prostředí SWIFT. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích bez identit | 4.1.0 |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.4 | Zaznamenejte události zabezpečení a detekujte neobvyklé akce a operace v místním prostředí SWIFT. | Přidání spravované identity přiřazené systémem pro povolení přiřazení konfigurace hosta na virtuálních počítačích s identitou přiřazenou uživatelem | 4.1.0 |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.4 | Zaznamenejte události zabezpečení a detekujte neobvyklé akce a operace v místním prostředí SWIFT. | Auditování virtuálních počítačů bez nakonfigurovaného zotavení po havárii | 1.0.0 |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.4 | Zaznamenejte události zabezpečení a detekujte neobvyklé akce a operace v místním prostředí SWIFT. | Pro virtuální počítače by měla být povolená služba Azure Backup. | 3.0.0 |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.4 | Zaznamenejte události zabezpečení a detekujte neobvyklé akce a operace v místním prostředí SWIFT. | Nasazení rozšíření Konfigurace hosta systému Windows pro povolení přiřazení konfigurace hosta na virtuálních počítačích s Windows | 1.2.0 |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.4 | Zaznamenejte události zabezpečení a detekujte neobvyklé akce a operace v místním prostředí SWIFT. | Rozšíření Log Analytics by mělo být povolené ve škálovacích sadách virtuálních počítačů pro uvedené image virtuálních počítačů. | 2.0.1 |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.4 | Zaznamenejte události zabezpečení a detekujte neobvyklé akce a operace v místním prostředí SWIFT. | Rozšíření Log Analytics by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | 1.0.1 |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.4 | Zaznamenejte události zabezpečení a detekujte neobvyklé akce a operace v místním prostředí SWIFT. | Virtuální počítače by měly mít nainstalované rozšíření Log Analytics. | 1.0.1 |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.5A | Detekujte a obsahují neobvyklou síťovou aktivitu do místního nebo vzdáleného prostředí SWIFT. | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Linuxem. | 1.0.2-preview |
| 6. Detekce neobvyklé aktivity v systémech nebo transakčních záznamech | 6.5A | Detekujte a obsahují neobvyklou síťovou aktivitu do místního nebo vzdáleného prostředí SWIFT. | [Preview]: Agent shromažďování dat síťového provozu by měl být nainstalovaný na virtuálních počítačích s Windows. | 1.0.2-preview |
Ovládací prvky systému a organizace (SOC) 2
Pokud si chcete projít, jak jsou dostupné integrované služby Azure Policy pro všechny služby Azure mapované na tento standard dodržování předpisů, přečtěte si podrobnosti o dodržování právních předpisů služby Azure Policy pro system and organization controls (SOC) 2. Další informace o této normě dodržování předpisů naleznete v tématu System and Organization Controls (SOC) 2.
UK OFFICIAL a UK NHS
Informace o tom, jak dostupné integrované integrované služby Azure Policy pro všechny služby Azure mapují na tento standard dodržování předpisů, najdete v tématu Dodržování právních předpisů Azure Policy – UK OFFICIAL a UK NHS. Další informace o této normě dodržování předpisů naleznete v tématu UK OFFICIAL.
Další kroky
- Přečtěte si další informace o dodržování právních předpisů azure Policy.
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.