CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Kamu) Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları

Aşağıdaki makalede, Azure İlkesi Mevzuat Uyumluluğu yerleşik girişim tanımının CIS Microsoft Azure Foundations Benchmark 1.3.0'daki (Azure Kamu) uyumluluk etki alanları ve denetimleriyle nasıl eşlenir? Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . CIS Microsoft Azure Foundations Benchmark 1.3.0. Sahipliği anlamak için ilke türünü ve Bulutta Paylaşılan sorumluluk'u gözden geçirin.

Aşağıdaki eşlemeler CIS Microsoft Azure Foundations Benchmark 1.3.0 denetimlerine yöneliktir. Denetimlerin çoğu Azure İlkesi girişim tanımıyla uygulanır. Girişim tanımının tamamını gözden geçirmek için Azure portalında İlke'yi açın ve Tanımlar sayfasını seçin. Ardından CIS Microsoft Azure Foundations Benchmark v1.3.0 Mevzuat Uyumluluğu yerleşik girişim tanımını bulun ve seçin.

Önemli

Aşağıdaki her denetim bir veya daha fazla Azure İlkesi tanımıyla ilişkilendirilir. Bu ilkeler denetimle uyumluluğu değerlendirmenize yardımcı olabilir; ancak genellikle bir denetim ile bir veya daha fazla ilke arasında bire bir veya tam eşleşme yoktur. Bu nedenle, Azure İlkesi uyumlu yalnızca ilke tanımlarını ifade eder; bu, bir denetimin tüm gereksinimleriyle tam olarak uyumlu olduğunuzdan emin olmaz. Buna ek olarak, uyumluluk standardı şu anda hiçbir Azure İlkesi tanımı tarafından ele alınmayacak denetimleri içerir. Bu nedenle, Azure İlkesi uyumluluk, genel uyumluluk durumunuzun yalnızca kısmi bir görünümüdür. Bu uyumluluk standardı için uyumluluk etki alanları, denetimler ve Azure İlkesi tanımları arasındaki ilişkilendirmeler zaman içinde değişebilir. Değişiklik geçmişini görüntülemek için bkz . GitHub İşleme Geçmişi.

1 Kimlik ve Erişim Yönetimi

Çok faktörlü kimlik doğrulamasının tüm ayrıcalıklı kullanıcılar için etkinleştirildiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 1.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0

Çok faktörlü kimlik doğrulamasının ayrıcalıklı olmayan tüm kullanıcılar için etkinleştirildiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 1.2 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 1.0.0

Konuk kullanıcıların aylık olarak gözden geçirildiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 1.3 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. AuditIfNotExists, Devre Dışı 1.0.0
Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. AuditIfNotExists, Devre Dışı 1.0.0

2 Güvenlik Merkezi

Azure Defender'ın Sunucular için Açık olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Karşılaştırma önerisi 2.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Sunucular için Azure Defender etkinleştirilmelidir Sunucular için Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve sağlamlaştırma önerilerinin yanı sıra şüpheli etkinlikler hakkında uyarılar oluşturur. AuditIfNotExists, Devre Dışı 1.0.3

'Ek e-posta adresleri'nin bir güvenlik kişisi e-postası ile yapılandırıldığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.13 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Güvenlik sorunları için aboneliklerin bir kişi e-posta adresi olmalıdır Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilere bildirim gönderildiğinden emin olmak için Güvenlik Merkezi'nden e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. AuditIfNotExists, Devre Dışı 1.0.1

'Aşağıdaki önem derecesine sahip uyarılar hakkında bilgilendir' seçeneğinin 'Yüksek' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.14 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Yüksek önem derecesi uyarıları için e-posta bildirimi etkinleştirilmelidir Aboneliğinizden birinde olası bir güvenlik ihlali olduğunda kuruluşunuzdaki ilgili kişilerin bilgilendirildiğinden emin olmak için, Güvenlik Merkezi'nde yüksek önem derecesi uyarıları için e-posta bildirimlerini etkinleştirin. AuditIfNotExists, Devre Dışı 1.0.1

Azure SQL veritabanı sunucuları için Azure Defender'ın Açık olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.3 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Azure SQL Veritabanı için Azure Defender sunucuları etkinleştirilmelidir SQL için Azure Defender, olası veritabanı güvenlik açıklarını ortaya çıkarmak ve azaltmak, SQL veritabanlarına yönelik tehditleri gösterebilecek anormal etkinlikleri algılamak ve hassas verileri bulmak ve sınıflandırmak için işlevsellik sağlar. AuditIfNotExists, Devre Dışı 1.0.2

Azure Defender'ın Depolama için Açık olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.5 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Depolama için Microsoft Defender (Klasik) etkinleştirilmelidir Depolama için Microsoft Defender (Klasik), depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılanması sağlar. AuditIfNotExists, Devre Dışı 1.0.4

Azure Defender'ın Kubernetes için Açık olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.6 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0

Azure Defender'ın Kapsayıcı Kayıt Defterleri için Açık olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 2.7 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Kapsayıcılar için Microsoft Defender etkinleştirilmelidir Kapsayıcılar için Microsoft Defender, Azure, hibrit ve çok bulutlu Kubernetes ortamlarınız için sağlamlaştırma, güvenlik açığı değerlendirmesi ve çalışma zamanı korumaları sağlar. AuditIfNotExists, Devre Dışı 1.0.0

3 Depolama Hesabı

'Güvenli aktarım gerekli' seçeneğinin 'Etkin' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 3.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Depolama hesaplarına güvenli aktarım etkinleştirilmelidir Depolama hesabınızda güvenli aktarım denetimi gereksinimi. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur Denetim, Reddetme, Devre Dışı 2.0.0

Depolama Hesapları için varsayılan ağ erişim kuralının reddetme olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 3.6 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Depolama hesapları ağ erişimini kısıtlamalıdır Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir Denetim, Reddetme, Devre Dışı 1.1.1
Depolama hesapları sanal ağ kurallarını kullanarak ağ erişimini kısıtlamalıdır IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlerden koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini engeller. Denetim, Reddetme, Devre Dışı 1.0.1

Depolama Hesabı erişimi için 'Güvenilen Microsoft Hizmetleri'nin etkinleştirildiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 3.7 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Depolama hesapları güvenilen Microsoft hizmetleri erişime izin vermelidir Depolama hesaplarıyla etkileşim kuran bazı Microsoft hizmetleri, ağ kuralları aracılığıyla erişim verilmeyen ağlardan çalışır. Bu hizmet türünün amaçlandığı gibi çalışmasına yardımcı olmak için, güvenilen Microsoft hizmetleri kümesinin ağ kurallarını atlamasına izin verin. Bu hizmetler daha sonra depolama hesabına erişmek için güçlü kimlik doğrulaması kullanır. Denetim, Reddetme, Devre Dışı 1.0.0

Kritik veriler için depolama alanının Müşteri Tarafından Yönetilen Anahtar ile şifrelenmesini sağlama

Kimlik: CIS Microsoft Azure Foundations Karşılaştırma önerisi 3.9 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Depolama hesapları şifreleme için müşteri tarafından yönetilen anahtar kullanmalıdır Müşteri tarafından yönetilen anahtarları kullanarak blob ve dosya depolama hesabınızın güvenliğini daha fazla esneklikle sağlayın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının döndürmesini denetlemek veya verileri şifrelemek için ek özellikler sağlar. Denetim, Devre Dışı 1.0.3

4 Veritabanı Hizmetleri

'Denetim'in 'Açık' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.1.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
SQL server'da denetim etkinleştirilmelidir Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. AuditIfNotExists, Devre Dışı 2.0.0

Bir SQL Veritabanı 'Veri şifrelemesi'nin 'Açık' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.1.2 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir AuditIfNotExists, Devre Dışı 2.0.0

'Denetim' Bekletme'nin '90 günden uzun' olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.1.3 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Depolama hesabı hedefine denetime sahip SQL sunucuları 90 gün veya daha uzun saklama ile yapılandırılmalıdır Olay araştırma amacıyla, SQL Server'ınızın denetimi için veri saklamayı depolama hesabı hedefine en az 90 güne ayarlamanızı öneririz. İşletim yaptığınız bölgeler için gerekli saklama kurallarını karşıladığınızdan emin olun. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. AuditIfNotExists, Devre Dışı 3.0.0

SQL sunucusundaki Gelişmiş Tehdit Koruması'nın (ATP) 'Etkin' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.2.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme AuditIfNotExists, Devre Dışı 2.0.1
KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. AuditIfNotExists, Devre Dışı 1.0.2

Depolama Hesabı ayarlayarak SQL sunucusunda Güvenlik Açığı Değerlendirmesi'nin (VA) etkinleştirildiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.2.2 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Güvenlik açığı değerlendirmesi SQL Yönetilen Örneği etkinleştirilmelidir Yinelenen güvenlik açığı değerlendirmesi taramalarının etkinleştirilmediği her SQL Yönetilen Örneği denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. AuditIfNotExists, Devre Dışı 1.0.1
SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir Güvenlik açığı değerlendirmesi düzgün yapılandırılmamış Azure SQL sunucularını denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. AuditIfNotExists, Devre Dışı 3.0.0

Postgre SQL Veritabanı Sunucusu için 'SSL bağlantısını zorla' ayarının 'ENABLED' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.3.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir PostgreSQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak PostgreSQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. Denetim, Devre Dışı 1.0.1

My SQL Veritabanı Server için 'SSL bağlantısını zorla' ayarının 'ENABLED' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.3.2 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılma etkinleştirilmelidir MySQL için Azure Veritabanı, güvenli yuva katmanı (SSL) kullanarak MySQL için Azure Veritabanı sunucunuzu istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, VERITABANı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorlar. Denetim, Devre Dışı 1.0.1

Postgre SQL Veritabanı Sunucusu için 'log_checkpoints' sunucu parametresinin 'ON' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.3.3 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
PostgreSQL veritabanı sunucuları için günlük denetim noktaları etkinleştirilmelidir Bu ilke, log_checkpoints ayarı etkinleştirilmeden ortamınızdaki tüm PostgreSQL veritabanlarını denetlemenize yardımcı olur. AuditIfNotExists, Devre Dışı 1.0.0

Postgre SQL Veritabanı Server için 'log_connections' sunucu parametresinin 'ON' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.3.4 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
PostgreSQL veritabanı sunucuları için günlük bağlantıları etkinleştirilmelidir Bu ilke, log_connections ayarı etkinleştirilmeden ortamınızdaki tüm PostgreSQL veritabanlarını denetlemenize yardımcı olur. AuditIfNotExists, Devre Dışı 1.0.0

Postgre SQL Veritabanı Server için 'log_disconnections' sunucu parametresinin 'ON' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.3.5 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
PostgreSQL veritabanı sunucuları için bağlantı kesilmeleri günlüğe kaydedilmelidir. Bu ilke, ortamınızdaki postgreSQL veritabanlarını log_disconnections etkinleştirilmeden denetlemenize yardımcı olur. AuditIfNotExists, Devre Dışı 1.0.0

Postgre SQL Veritabanı Sunucusu için 'connection_throttling' sunucu parametresinin 'ON' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.3.6 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
PostgreSQL veritabanı sunucuları için bağlantı azaltma etkinleştirilmelidir Bu ilke, Ortamınızdaki PostgreSQL veritabanlarını Bağlantı azaltma etkinleştirilmeden denetlemenize yardımcı olur. Bu ayar, çok fazla geçersiz parola oturum açma hatası için IP başına geçici bağlantı azaltmayı etkinleştirir. AuditIfNotExists, Devre Dışı 1.0.0

Azure Active Directory Yöneticisi'nin yapılandırıldığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.4 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar AuditIfNotExists, Devre Dışı 1.0.0

SQL Server'ın TDE koruyucus un Müşteri tarafından yönetilen anahtarla şifrelendiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 4.5 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
SQL yönetilen örnekleri bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile artırılmış güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. Denetim, Reddetme, Devre Dışı 2.0.0
SQL sunucuları bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Saydam Veri Şifrelemesi (TDE) kendi anahtarınız ile uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM destekli dış hizmet ile daha fazla güvenlik ve görev ayrımının yükseltilmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. Denetim, Reddetme, Devre Dışı 2.0.1

5 Günlük ve İzleme

Etkinlik günlüklerine sahip kapsayıcıyı içeren depolama hesabının KAG ile şifrelendiğinden emin olun (Kendi Anahtarınızı Kullanın)

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.1.4 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Etkinlik günlüklerine sahip kapsayıcıyı içeren depolama hesabı BYOK ile şifrelenmelidir Bu ilke, etkinlik günlüklerine sahip kapsayıcıyı içeren Depolama hesabının KAG ile şifrelenip şifrelenmediğini denetler. İlke yalnızca depolama hesabı tasarım gereği etkinlik günlükleri ile aynı abonelikte yer alırsa çalışır. Bekleyen Azure Depolama şifrelemesi hakkında daha fazla bilgiyi burada https://aka.ms/azurestoragebyokbulabilirsiniz. AuditIfNotExists, Devre Dışı 1.0.0

Azure KeyVault günlüğünün 'Etkin' olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.1.5 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Key Vault'taki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır AuditIfNotExists, Devre Dışı 5.0.0

İlke Oluşturma Ataması için Etkinlik Günlüğü Uyarısı'nın mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli İlke işlemleri için etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli İlke işlemlerini denetler. AuditIfNotExists, Devre Dışı 3.0.0

İlkeYi Sil Ataması için Etkinlik Günlüğü Uyarısı'nın mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.2 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli İlke işlemleri için etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli İlke işlemlerini denetler. AuditIfNotExists, Devre Dışı 3.0.0

Ağ Güvenlik Grubu Oluştur veya Güncelleştir için Etkinlik Günlüğü Uyarısı'nın mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.3 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Yönetim işlemleri için bir etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Yönetim işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

Ağ Güvenlik Grubunu Sil için Etkinlik Günlüğü Uyarısı'nın mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.4 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Yönetim işlemleri için bir etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Yönetim işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

Ağ Güvenlik Grubu Kuralı Oluştur veya Güncelleştir için Etkinlik Günlüğü Uyarısı'nın mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.5 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Yönetim işlemleri için bir etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Yönetim işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

Ağ Güvenlik Grubunu Sil Kuralı için etkinlik günlüğü uyarısının mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.6 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Yönetim işlemleri için bir etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Yönetim işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

Güvenlik Çözümü Oluştur veya Güncelleştir için Etkinlik Günlüğü Uyarısı'nın mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.7 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Güvenlik işlemleri için etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Güvenlik işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

Güvenlik Çözümünü Sil için Etkinlik Günlüğü Uyarısı'nın mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.8 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Güvenlik işlemleri için etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Güvenlik işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

SQL Server Güvenlik Duvarı Kuralı Oluşturma veya Güncelleştirme veya Silme için Etkinlik Günlüğü Uyarısının mevcut olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.2.9 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Belirli Yönetim işlemleri için bir etkinlik günlüğü uyarısı bulunmalıdır Bu ilke, etkinlik günlüğü uyarısı yapılandırılmamış belirli Yönetim işlemlerini denetler. AuditIfNotExists, Devre Dışı 1.0.0

Tanılama Günlüklerinin onu destekleyen tüm hizmetler için etkinleştirildiğinden emin olun.

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 5.3 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service uygulamalarında kaynak günlükleri etkinleştirilmelidir Uygulamada kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye atılırsa araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. AuditIfNotExists, Devre Dışı 2.0.1
Azure Data Lake Store'daki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Azure Stream Analytics'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Batch hesaplarındaki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Data Lake Analytics'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Olay Hub'ında kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Key Vault'taki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır AuditIfNotExists, Devre Dışı 5.0.0
Logic Apps'teki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.1.0
Arama hizmeti'lerdeki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0
Service Bus'taki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleyin. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak tanır; bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında AuditIfNotExists, Devre Dışı 5.0.0

6 Ağ İletişimi

Ağ İzleyicisi 'Etkin' olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 6.5 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Ağ İzleyicisi etkinleştirilmelidir Ağ İzleyicisi, Azure'da, azureda ve Azure'dan ağ senaryosu düzeyinde koşulları izlemenize ve tanılamanıza olanak tanıyan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uçtan uca ağ düzeyi görünümünde tanılamanıza olanak tanır. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleyicisi kaynak grubunun olması gerekir. Bir ağ izleyicisi kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Devre Dışı 3.0.0

7 Sanal Makineler

Sanal Makineler Yönetilen Diskler

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 7.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Yönetilen disk kullanmayan VM'leri denetleme Bu ilke yönetilen diskleri kullanmayan VM’leri denetler denetim 1.0.0

Yalnızca onaylı uzantıların yüklendiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 7.4 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Yalnızca onaylı VM uzantıları yüklenmelidir Bu ilke, onaylanmamış sanal makine uzantılarını yönetir. Denetim, Reddetme, Devre Dışı 1.0.0

8 Diğer Güvenlik Konuları

Anahtar kasasının kurtarılabilir olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 8.4 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Anahtar kasalarında silme koruması etkinleştirilmelidir Bir anahtar kasasının kötü amaçlı silinmesi kalıcı veri kaybına neden olabilir. Temizleme korumasını ve geçici silmeyi etkinleştirerek kalıcı veri kaybını önleyebilirsiniz. Temizleme koruması, geçici olarak silinen anahtar kasaları için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez. 1 Eylül 2019'dan sonra oluşturulan anahtar kasalarında varsayılan olarak geçici silme özelliğinin etkinleştirildiğini unutmayın. Denetim, Reddetme, Devre Dışı 2.1.0

Azure Kubernetes Services içinde rol tabanlı erişim denetimini (RBAC) etkinleştirme

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 8.5 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
Kubernetes Services üzerinde Rol Tabanlı Erişim Denetimi (RBAC) kullanılmalıdır Kullanıcıların gerçekleştirebileceği eylemler üzerinde ayrıntılı filtreleme sağlamak için Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Kubernetes Hizmet Kümelerindeki izinleri yönetin ve ilgili yetkilendirme ilkelerini yapılandırın. Denetim, Devre Dışı 1.0.4

9 AppService

App Service Kimlik Doğrulaması'nın Azure Uygulaması Hizmeti'ne ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 9.1 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service uygulamalarında kimlik doğrulaması etkinleştirilmelidir Azure Uygulaması Hizmet Kimlik Doğrulaması, anonim HTTP isteklerinin web uygulamasına ulaşmasını engelleyebilen veya belirteçleri olan kişilerin kimliğini web uygulamasına ulaşmadan önce doğrulayan bir özelliktir. AuditIfNotExists, Devre Dışı 2.0.1
İşlev uygulamalarında kimlik doğrulaması etkinleştirilmelidir Azure Uygulaması Hizmet Kimlik Doğrulaması, anonim HTTP isteklerinin İşlev uygulamasına ulaşmasını engelleyebilen veya İşlev uygulamasına ulaşmadan önce belirteçleri olan kişilerin kimliğini doğrulayan bir özelliktir. AuditIfNotExists, Devre Dışı 3.0.0

FTP dağıtımlarının devre dışı bırakıldığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 9.10 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service uygulamaları yalnızca FTPS gerektirmelidir Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. AuditIfNotExists, Devre Dışı 3.0.0
İşlev uygulamaları yalnızca FTPS gerektirmelidir Gelişmiş güvenlik için FTPS zorlamasını etkinleştirin. AuditIfNotExists, Devre Dışı 3.0.0

Web uygulamasının Azure Uygulaması Hizmeti'nde tüm HTTP trafiğini HTTPS'ye yönlendirdiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 9.2 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Denetim, Devre Dışı, Reddet 4.0.0

Web uygulamasının TLS şifrelemesinin en son sürümünü kullandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 9.3 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service uygulamaları en son TLS sürümünü kullanmalıdır Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa, en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için App Service uygulamalarının en son TLS sürümüne yükseltin. AuditIfNotExists, Devre Dışı 2.1.0
İşlev uygulamaları en son TLS sürümünü kullanmalıdır Düzenli aralıklarla, güvenlik açıkları nedeniyle TLS için daha yeni sürümler yayınlanıyor, ek işlevler içeriyor ve hızı artırıyor. Varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için İşlev uygulamaları için en son TLS sürümüne yükseltin. AuditIfNotExists, Devre Dışı 2.1.0

Web uygulamasında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' öğesinin 'Açık' olarak ayarlandığından emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 9.4 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
[Kullanım dışı]: İşlev uygulamalarında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' etkinleştirilmelidir İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli sertifikalara sahip istemciler uygulamaya ulaşabilir. Http 2.0 istemci sertifikalarını desteklemediğinden bu ilke aynı ada sahip yeni bir ilkeyle değiştirildi. Denetim, Devre Dışı 3.1.0 kullanım dışı
App Service uygulamalarında İstemci Sertifikaları (Gelen istemci sertifikaları) etkinleştirilmelidir İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli bir sertifikası olan istemciler uygulamaya ulaşabilir. Bu ilke, Http sürümü 1.1 olarak ayarlanmış uygulamalar için geçerlidir. AuditIfNotExists, Devre Dışı 1.0.0

App Service'te Azure Active Directory ile Kaydet'in etkinleştirildiğinden emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 9.5 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0
İşlev uygulamaları yönetilen kimlik kullanmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Devre Dışı 3.0.0

Web uygulamasını çalıştırmak için kullanılırsa 'HTTP Sürümü'nin en son sürüm olduğundan emin olun

Kimlik: CIS Microsoft Azure Foundations Benchmark önerisi 9.9 Sahiplik: Paylaşılan

Veri Akışı Adı
(Azure portalı)
Açıklama Etkiler Sürüm
(GitHub)
App Service uygulamaları en son 'HTTP Sürümü' kullanmalıdır Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. AuditIfNotExists, Devre Dışı 4.0.0
İşlev uygulamaları en son 'HTTP Sürümü' kullanmalıdır Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek amacıyla HTTP için daha yeni sürümler yayınlanıyor. Varsa güvenlik düzeltmelerinden ve/veya yeni sürümün yeni işlevlerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. AuditIfNotExists, Devre Dışı 4.0.0

Sonraki adımlar

Azure İlkesi hakkında ek makaleler: