توصيات الأمان - دليل مرجعي
تسرد هذه المقالة التوصيات التي قد تراها في Microsoft Defender for Cloud. تعتمد التوصيات المعروضة في بيئتك على الموارد التي تحميها والتكوين المخصص.
تستند توصيات Defender for Cloud إلى معيار أمان Azure. Azure Security Benchmark هي مجموعة إرشادات خاصة بـ Azure مؤلفة من Microsoft لأفضل ممارسات الأمان والتوافق استناداً إلى أُطر عمل التوافق الشائعة. ويستند هذا المعيار الذي يحظى باحترام واسع النطاق إلى عناصر التحكم الواردة من Center for Internet Security (CIS) وNational Institute of Standards and Technology (NIST) مع التركيز على الأمان المرتكز على السحابة.
للتعرف على كيفية الاستجابة لهذه التوصيات، راجع معالجة التوصيات في Defender for Cloud.
تستند درجاتك الآمنة إلى عدد توصيات الأمان التي أكملتها. لتحديد التوصيات التي يجب حلها أولاً، انظر إلى حدة كل منها وتأثيرها المحتمل على درجاتك الآمنة.
تلميح
إذا كان وصف التوصية يقول "لا توجد سياسة ذات صلة"، فعادة ما يكون ذلك لأن هذه التوصية تعتمد على توصية مختلفة وسياستها . على سبيل المثال، تعتمد التوصية "يجب معالجة الأعطال الصحية لحماية نقطة النهاية ..."، على التوصية التي تتحقق مما إذا كان حل حماية نقطة النهاية مثبتا ("يجب تثبيت حل حماية نقطة النهاية..."). التوصية الأساسية لديها سياسة. إن قصر السياسات على التوصية التأسيسية فقط يبسط إدارة السياسات.
توصيات AppServices
وهناك 31 توصية في هذه الفئة.
| التوصية | الوصف | الخطورة |
|---|---|---|
| ينبغي تطبيق واجهة برمجة التطبيقات متاحاً فقط عبر بروتوكول نقل النص التشعبي الآمن | يضمن استخدام بروتوكول نقل النص التشعبي الآمن مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. (السياسة ذات الصلة: يجب أن يكون تطبيق API متاحا فقط عبر HTTPS) |
متوسط |
| يجب ألا يسمح CORS لكل مورد بالوصول إلى تطبيقات API | يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لكل المجالات بالوصول إلى واجهة برمجة التطبيقات. اسمح للمجالات المطلوبة فقط بالتفاعل مع واجهة برمجة التطبيقات. (السياسة ذات الصلة: يجب ألا تسمح CORS لكل مورد بالوصول إلى تطبيق API الخاص بك) |
منخفض |
| يجب ألا يسمح CORS لكل مورد بالوصول إلى تطبيقات الوظائف | يجب ألا تسمح مشاركة الموارد عبر المنشأ (CORS) لجميع المجالات بالوصول إلى Function Apps لديك. اسمح للمجالات المطلوبة فقط بالتفاعل مع Function Apps لديك. (السياسة ذات الصلة: يجب ألا يسمح CORS لكل مورد بالوصول إلى تطبيقات الوظائف الخاصة بك) |
منخفض |
| يجب ألا تسمح CORS لكل مورد بالوصول إلى تطبيقات الويب | يجب ألا يسمح اشتراك المصادر في الموارد لكل النطاقات بالوصول إلى تطبيق الويب. تسمح فقط للمجالات المطلوبة بالتفاعل مع تطبيق الويب. (السياسة ذات الصلة: يجب ألا يسمح CORS لكل مورد بالوصول إلى تطبيقات الويب الخاصة بك) |
منخفض |
| يجب تمكين السجلات التشخيصية في App Service | قم بتدقيق تمكين سجلات التشخيص على التطبيق. يتيح ذلك إعادة إنشاء مسارات الأنشطة لأغراض التحقيق في حال وقوع حادث أمني أو تعرضت الشبكة للخطر (لا توجد سياسة ذات صلة) |
متوسط |
| تأكد من أن تطبيق API يحتوي على شهادات العميل الواردة التي تم تعيينها إلى تشغيل | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. (السياسة ذات الصلة: تأكد من تعيين "شهادات العميل (شهادات العميل الواردة)" على "تشغيل") |
متوسط |
| يجب أن تكون FTPS مطلوبة في تطبيقات API | تمكين تطبيق FTPS من أجل تعزيز الأمان (السياسة ذات الصلة: يجب أن تكون FTPS مطلوبة فقط في تطبيق API الخاص بك) |
درجة عالية |
| يجب أن تكون FTPS مطلوبة في تطبيقات الوظائف | تمكين تطبيق FTPS من أجل تعزيز الأمان (السياسة ذات الصلة: يجب أن تكون FTPS مطلوبة فقط في تطبيق الوظائف الخاص بك) |
درجة عالية |
| يجب أن تكون FTPS مطلوبة في تطبيقات الويب | تمكين تطبيق FTPS من أجل تعزيز الأمان (السياسة ذات الصلة: يجب أن تكون FTPS مطلوبة في تطبيق الويب الخاص بك) |
درجة عالية |
| يجب أن يكون تطبيق الوظائف متاحًا فقط عبر HTTPS | يضمن استخدام بروتوكول نقل النص التشعبي الآمن مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. (السياسة ذات الصلة: يجب ألا يمكن الوصول إلى تطبيق الوظيفة إلا عبر HTTPS) |
متوسط |
| يجب تمكين شهادات العميل (شهادات العميل الوارد) في تطبيقات الوظائف | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. وسيتمكن العملاء الذين يحملون شهادات صالحة فقط من الوصول إلى التطبيق. (السياسة ذات الصلة: يجب تمكين "شهادات العميل (شهادات العميل الواردة)" في تطبيقات الوظائف) |
متوسط |
| يجب تحديث Java إلى أحدث إصدار لتطبيقات API | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات API للاستفادة من إصلاحات الأمان ، إن وجدت ، و / أو الوظائف الجديدة لأحدث إصدار. (السياسة ذات الصلة: تأكد من أن "إصدار Java" هو الأحدث ، إذا تم استخدامه كجزء من تطبيق API) |
متوسط |
| يجب تحديث Java إلى أحدث إصدار لتطبيقات الوظائف | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Java لتطبيقات الوظائف للاستفادة من إصلاحات الأمان ، إن وجدت ، و / أو الوظائف الجديدة لأحدث إصدار. (السياسة ذات الصلة: تأكد من أن "إصدار Java" هو الأحدث ، إذا تم استخدامه كجزء من تطبيق الوظيفة) |
متوسط |
| يجب تحديث Java إلى أحدث إصدار لتطبيقات الويب | إذ يتم إطلاق إصدارات أحدث لبرنامج Java بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Java لتطبيقات الويب للاستفادة من إصلاحات الأمان ، إن وجدت ، و / أو الوظائف الجديدة لأحدث إصدار. (السياسة ذات الصلة: تأكد من أن "إصدار جافا" هو الأحدث، إذا تم استخدامه كجزء من تطبيق الويب) |
متوسط |
| يجب استخدام الهوية المدارة في تطبيقات واجهة برمجة التطبيقات | لتحسين أمان المصادقة، استخدم هوية مدارة. على Azure، تلغي الهويات المدارة حاجة المطورين إلى إدارة بيانات الاعتماد من خلال توفير هوية لمورد Azure في Azure AD واستخدامه للحصول على الرموز المميزة ل Azure Active Directory (Azure AD). (السياسة ذات الصلة: يجب استخدام الهوية المدارة في تطبيق واجهة برمجة التطبيقات) |
متوسط |
| يجب استخدام الهوية المدارة في تطبيقات الوظائف | لتحسين أمان المصادقة، استخدم هوية مدارة. على Azure، تلغي الهويات المدارة حاجة المطورين إلى إدارة بيانات الاعتماد من خلال توفير هوية لمورد Azure في Azure AD واستخدامه للحصول على الرموز المميزة ل Azure Active Directory (Azure AD). (السياسة ذات الصلة: يجب استخدام الهوية المدارة في تطبيق الوظائف) |
متوسط |
| يجب استخدام الهوية المدارة في تطبيقات الويب | لتحسين أمان المصادقة، استخدم هوية مدارة. على Azure، تلغي الهويات المدارة حاجة المطورين إلى إدارة بيانات الاعتماد من خلال توفير هوية لمورد Azure في Azure AD واستخدامه للحصول على الرموز المميزة ل Azure Active Directory (Azure AD). (السياسة ذات الصلة: يجب استخدام الهوية المدارة في تطبيق الويب الخاص بك) |
متوسط |
| يجب تمكين Microsoft Defender لخدمة التطبيقات | يستفيد Microsoft Defender for App Service من حجم السحابة، والرؤية التي يتمتع بها Azure كموفر سحابة، لمراقبة هجمات تطبيقات الويب الشائعة. يمكن ل Microsoft Defender for App Service اكتشاف الهجمات على تطبيقاتك وتحديد الهجمات الناشئة. ملاحظة مهمة: سيؤدي معالجة هذه التوصية إلى فرض رسوم على حماية خطط خدمة التطبيقات. إذا لم يكن لديك أي خطط خدمة تطبيقات في هذا الاشتراك، فلن يتم تكبد أي رسوم. إذا قمت بإنشاء أي خطط خدمة تطبيق على هذا الاشتراك في المستقبل، حمايتها تلقائيا وستبدأ الرسوم في ذلك الوقت. تعرف على المزيد في حماية تطبيقات الويب وواجهات برمجة التطبيقات. (السياسة ذات الصلة: يجب تمكين Azure Defender for App Service) |
درجة عالية |
| يجب تحديث PHP إلى أحدث إصدار لتطبيقات API | إذ يتم إطلاق إصدارات أحدث لبرنامج PHP بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من PHP لتطبيقات API للاستفادة من إصلاحات الأمان ، إن وجدت ، و / أو الوظائف الجديدة لأحدث إصدار. (السياسة ذات الصلة: تأكد من أن "إصدار PHP" هو الأحدث ، إذا تم استخدامه كجزء من تطبيق API) |
متوسط |
| يجب تحديث PHP إلى أحدث إصدار لتطبيقات الويب | إذ يتم إطلاق إصدارات أحدث لبرنامج PHP بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من PHP لتطبيقات الويب للاستفادة من إصلاحات الأمان ، إن وجدت ، و / أو الوظائف الجديدة لأحدث إصدار. (السياسة ذات الصلة: تأكد من أن "إصدار PHP" هو الأحدث ، إذا تم استخدامه كجزء من تطبيق WEB ) |
متوسط |
| يجب تحديث Python إلى أحدث إصدار لتطبيقات API | إذ يتم إطلاق إصدارات أحدث لبرنامج Python بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات API للاستفادة من إصلاحات الأمان ، إن وجدت ، و / أو الوظائف الجديدة لأحدث إصدار. (السياسة ذات الصلة: تأكد من أن "إصدار بايثون" هو الأحدث، إذا تم استخدامه كجزء من تطبيق واجهة برمجة التطبيقات) |
متوسط |
| يجب تحديث بايثون إلى أحدث إصدار لتطبيقات الوظائف | إذ يتم إطلاق إصدارات أحدث لبرنامج Python بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات الوظائف للاستفادة من إصلاحات الأمان ، إن وجدت ، و / أو الوظائف الجديدة لأحدث إصدار. (السياسة ذات الصلة: تأكد من أن "إصدار بايثون" هو الأحدث، إذا تم استخدامه كجزء من تطبيق الوظيفة) |
متوسط |
| يجب تحديث بايثون إلى أحدث إصدار لتطبيقات الويب | إذ يتم إطلاق إصدارات أحدث لبرنامج Python بشكل دوري، بسبب وجود عيوب أمنية أو لتضمين وظائف إضافية. يوصى باستخدام أحدث إصدار من Python لتطبيقات الويب للاستفادة من إصلاحات الأمان ، إن وجدت ، و / أو الوظائف الجديدة لأحدث إصدار. (السياسة ذات الصلة: تأكد من أن "إصدار بايثون" هو الأحدث، إذا تم استخدامه كجزء من تطبيق الويب) |
متوسط |
| يجب إيقاف تصحيح الأخطاء عن بعد لتطبيقات واجهة برمجة التطبيقات | يتطلب تصحيح الأخطاء عن بعد فتح منافذ واردة على تطبيق API. لذا يجب إيقاف تشغيل تصحيح الأخطاء عن بُعد. (السياسة ذات الصلة: يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات واجهة برمجة التطبيقات) |
منخفض |
| يجب إيقاف تصحيح الأخطاء عن بُعد لـ Function App | يتطلب تصحيح الأخطاء عن بعد فتح منافذ واردة على تطبيق Azure Function. لذا يجب إيقاف تشغيل تصحيح الأخطاء عن بُعد. (السياسة ذات الصلة: يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الوظائف) |
منخفض |
| يجب إيقاف تصحيح الأخطاء عن بُعد لتطبيقات الويب | يتطلب تصحيح الأخطاء عن بُعد فتح المنافذ الواردة على تطبيق الويب. يتم تمكين تصحيح الأخطاء عن بعد حاليا. إذا لم تعد بحاجة إلى استخدام تصحيح الأخطاء عن بعد ، فيجب إيقاف تشغيله. (السياسة ذات الصلة: يجب إيقاف تشغيل تصحيح الأخطاء عن بعد لتطبيقات الويب) |
منخفض |
| يجب تحديث طبقة النقل الآمنة إلى أحدث إصدار لتطبيقات واجهة برمجة التطبيقات | الترقية إلى أحدث إصدارات TLS (السياسة ذات الصلة: يجب استخدام أحدث إصدار من طبقة النقل الآمنة في تطبيق واجهة برمجة التطبيقات) |
درجة عالية |
| يجب تحديث طبقة النقل الآمنة إلى أحدث إصدار لتطبيقات الوظائف | الترقية إلى أحدث إصدارات TLS (السياسة ذات الصلة: يجب استخدام أحدث إصدار من طبقة النقل الآمنة في تطبيق الوظائف) |
درجة عالية |
| يجب تحديث طبقة النقل الآمنة إلى أحدث إصدار لتطبيقات الويب | الترقية إلى أحدث إصدارات TLS (السياسة ذات الصلة: يجب استخدام أحدث إصدار من TLS في تطبيق الويب الخاص بك) |
درجة عالية |
| يجب ألا يكون تطبيق الويب متاحاً إلا عبر HTTPS | يضمن استخدام بروتوكول نقل النص التشعبي الآمن مصادقة الخادم/الخدمة ويحمي البيانات في أثناء النقل من هجمات التنصت على طبقة الشبكة. (السياسة ذات الصلة: يجب أن يكون تطبيق الويب متاحا فقط عبر HTTPS) |
متوسط |
| يجب أن تطلب تطبيقات الويب شهادة SSL لجميع الطلبات الواردة | تسمح شهادات العميل للتطبيق بطلب شهادة للطلبات الواردة. سيتمكن العملاء الذين لديهم شهادة صالحة فقط من الوصول إلى التطبيق. (السياسة ذات الصلة: تأكد من أن تطبيق WEB يحتوي على "شهادات العميل (شهادات العميل الواردة)" مضبوطة على "تشغيل") |
متوسط |
حساب التوصيات
وهناك 59 توصية في هذه الفئة.
| التوصية | الوصف | الخطورة |
|---|---|---|
| يجب تمكين عناصر التحكم في التطبيق التكيفية لتحديد التطبيقات الآمنة على أجهزتك | مكن عناصر التحكم في التطبيق لتحديد قائمة التطبيقات المعروفة الآمنة التي تعمل على الأجهزة، وتنبيهك عند تشغيل التطبيقات الأخرى. وهذا يساعد على تقوية الأجهزة للتصدي للبرامج الضارة. لتبسيط عملية تكوين قواعدك والحفاظ عليها، يستخدم Defender for Cloud التعلم الآلي لتحليل التطبيقات التي تعمل على كل جهاز واقتراح قائمة بالتطبيقات المعروفة الآمنة. (السياسة ذات الصلة: يجب تمكين عناصر التحكم في التطبيقات التكيفية لتحديد التطبيقات الآمنة على أجهزتك) |
درجة عالية |
| يجب تحديث قواعد قائمة السماح في نهج التحكم في التطبيق التكيفي | راقب التغييرات في السلوك على مجموعات الأجهزة التي تم تكوينها للتدقيق بواسطة عناصر التحكم في التطبيقات التكيفية في Defender for Cloud. يستخدم Defender for Cloud التعلم الآلي لتحليل العمليات الجارية على أجهزتك واقتراح قائمة بالتطبيقات المعروفة الآمنة. يتم تقديم هذه التطبيقات على أنها تطبيقات موصى بها للسماح بها في نُهج التحكم في التطبيقات التكيفية. (السياسة ذات الصلة: يجب تحديث قواعد القائمة المسموح بها في سياسة التحكم في التطبيقات التكيفية) |
درجة عالية |
| يجب أن تتطلب المصادقة على أجهزة Linux مفاتيح SSH | على الرغم من أن SSH نفسه يوفر اتصالاً مشفرًا، فإن استخدام كلمات المرور مع SSH لا يزال يترك الجهاز الظاهري عرضة لهجمات القوة الغاشمة. الخيار الأكثر أمانًا للمصادقة إلى جهاز ظاهري Azure Linux عبر SSH يكون باستخدام زوج مفاتيح عام-خاص، يُعرف أيضًا باسم مفاتيح SSH. تعرف على المزيد في الخطوات التفصيلية: إنشاء مفاتيح SSH وإدارتها للمصادقة على جهاز ظاهري Linux في Azure. (السياسة ذات الصلة: تدقيق أجهزة Linux التي لا تستخدم مفتاح SSH للمصادقة) |
متوسط |
| يجب تشفير متغيرات حساب التنفيذ التلقائي | من المهم تمكين تشفير الأصول المتغيرة لحساب التشغيل التلقائي عند تخزين البيانات الحساسة. (السياسة ذات الصلة: يجب تشفير متغيرات حساب التشغيل التلقائي) |
درجة عالية |
| يجب تمكين Azure Backup للأجهزة الظاهرية | قم بحماية البيانات الموجودة على أجهزة Azure الظاهرية باستخدام Azure Backup. Azure Backup هو حل لحماية البيانات من Azure-native، وفعال من حيث التكلفة. يقوم بإنشاء نقاط استرداد يتم تخزينها في خزائن استرداد زائدة عن الحاجة جغرافيا. عند الاستعادة من نقطة استرداد، يمكنك استعادة الجهاز الظاهري بالكامل أو ملفات معينة. (السياسة ذات الصلة: يجب تمكين Azure Backup للأجهزة الظاهرية) |
منخفض |
| يجب تكوين مضيفات الحاويات بشكل آمن | معالجة الثغرات الأمنية في تكوين الأمان على الأجهزة المثبتة على Docker لحمايتها من الهجمات. (السياسة ذات الصلة: ينبغي معالجة الثغرات الأمنية في تكوينات أمان الحاويات) |
درجة عالية |
| يجب تمكين سجلات الموارد في Azure Stream Analytics | تمكين السجلات والاحتفاظ بها لمدة تصل إلى سنة. يتيح لك ذلك إعادة إنشاء مسارات النشاط لأغراض التحقيق عند وقوع حادث أمني أو اختراق شبكتك. (السياسة ذات الصلة: يجب تمكين السجلات التشخيصية في Azure Stream Analytics) |
منخفض |
| يجب تمكين سجلات التشخيص في حسابات الدُفعات | تمكين السجلات والاحتفاظ بها لمدة تصل إلى سنة. يتيح لك ذلك إعادة إنشاء مسارات النشاط لأغراض التحقيق عند وقوع حادث أمني أو اختراق شبكتك. (السياسة ذات الصلة: يجب تمكين السجلات التشخيصية في حسابات الدفعات) |
منخفض |
| يجب تمكين سجلات الموارد في Event Hub | تمكين السجلات والاحتفاظ بها لمدة تصل إلى سنة. يتيح لك ذلك إعادة إنشاء مسارات النشاط لأغراض التحقيق عند وقوع حادث أمني أو اختراق شبكتك. (السياسة ذات الصلة: يجب تمكين سجلات التشخيص في مركز الأحداث) |
منخفض |
| يجب تمكين سجلات التشخيص في خدمات Kubernetes | قم بتمكين السجلات التشخيصية في خدمات Kubernetes الخاصة بك واحتفظ بها لمدة تصل إلى عام. يمكنك ذلك من إعادة إنشاء مسارات النشاط لأغراض التحقيق عند وقوع حادث أمني. (لا توجد سياسة ذات صلة) |
منخفض |
| يجب تمكين سجلات التشخيص في Logic Apps | لضمان إمكانية إعادة إنشاء مسارات النشاط لأغراض التحقيق عند وقوع حادث أمني أو اختراق شبكتك، قم بتمكين التسجيل. إذا لم يتم إرسال سجلاتك التشخيصية إلى مساحة عمل Log Analytics أو حساب Azure Storage أو Azure Event Hub، فتأكد من تكوين إعدادات التشخيص لإرسال مقاييس النظام الأساسي وسجلات النظام الأساسي إلى الوجهات ذات الصلة. تعرف على المزيد في إنشاء إعدادات تشخيصية لإرسال سجلات النظام الأساسي ومقاييسه إلى وجهات مختلفة. (السياسة ذات الصلة: يجب تمكين سجلات التشخيص في التطبيقات المنطقية) |
منخفض |
| يجب تمكين سجلات التشخيص في خدمات البحث | تمكين السجلات والاحتفاظ بها لمدة تصل إلى سنة. يتيح لك ذلك إعادة إنشاء مسارات النشاط لأغراض التحقيق عند وقوع حادث أمني أو اختراق شبكتك. (السياسة ذات الصلة: يجب تمكين السجلات التشخيصية في خدمات البحث) |
منخفض |
| يجب تمكين سجلات الموارد في ناقل خدمة Azure | تمكين السجلات والاحتفاظ بها لمدة تصل إلى سنة. يتيح لك ذلك إعادة إنشاء مسارات النشاط لأغراض التحقيق عند وقوع حادث أمني أو اختراق شبكتك. (السياسة ذات الصلة: يجب تمكين سجلات التشخيص في ناقل الخدمة) |
منخفض |
| يجب تمكين سجلات التشخيص في مجموعات مقياس الجهاز الظاهري | تمكين السجلات والاحتفاظ بها لمدة تصل إلى سنة. يتيح لك ذلك إعادة إنشاء مسارات النشاط لأغراض التحقيق عند وقوع حادث أمني أو اختراق شبكتك. (النهج ذات الصلة: يجب تمكين سجلات التشخيص في مجموعات مقاييس الجهاز الظاهري) |
منخفض |
| يجب حل المشكلات المتعلقة بحماية نقاط النهاية على الأجهزة | للحصول على حماية Defender for Cloud الكاملة، يمكنك حل مشكلات وكيل المراقبة على أجهزتك باتباع الإرشادات الواردة في دليل استكشاف الأخطاء وإصلاحها. (السياسة ذات الصلة: مراقبة Endpoint Protection المفقودة في مركز أمان Azure) |
متوسط |
| يجب حل المشكلات المتعلقة بحماية نقاط النهاية على الأجهزة | حل مشكلات صحة حماية نقطة النهاية على أجهزتك الظاهرية لحمايتها من أحدث التهديدات ونقاط الضعف. راجع الوثائق الخاصة بحلول حماية نقطة النهاية التي يدعمها Defender for Cloudوتقييمات حماية نقطة النهاية. (لا توجد سياسة ذات صلة) |
متوسط |
| يجب حل المشكلات المتعلقة بحماية نقطة النهاية على مجموعات مقاييس الجهاز الظاهري | قم بمعالجة حالات فشل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري لحمايتها من التهديدات ونقاط الضعف. (السياسة ذات الصلة: يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري) |
منخفض |
| يجب تثبيت حماية نقطة النهاية على الأجهزة | قم بتثبيت حل حماية نقطة النهاية على أجهزة Windows وLinux الخاصة بك، لحمايتها من التهديدات ونقاط الضعف. (لا توجد سياسة ذات صلة) |
متوسط |
| يجب تثبيت حماية نقطة النهاية على الأجهزة | لحماية الأجهزة من التهديدات والثغرات الأمنية، قم بتثبيت حل دعم لحماية نقطة النهاية. تعرف على المزيد حول كيفية تقييم حماية نقطة النهاية للأجهزة في تقييم حماية نقطة النهاية والتوصيات في Microsoft Defender for Cloud. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب تثبيت حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري | قم بتثبيت حل حماية نقطة النهاية على مجموعات مقاييس الأجهزة الظاهرية لحمايتها من التهديدات ونقاط الضعف. (السياسة ذات الصلة: يجب تثبيت حل حماية نقطة النهاية على مجموعات مقياس الجهاز الظاهري) |
درجة عالية |
| يجب تمكين مراقبة سلامة الملفات على الخوادم | حددت Defender for Cloud الأجهزة الظاهرية التي تفتقد إلى حل مراقبة سلامة الملفات. لمراقبة التغييرات التي تطرأ على الملفات الهامة ومفاتيح التسجيل والمزيد على خوادمك، قم بتمكين مراقبة تكامل الملفات. التعرف على المزيد > (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب تثبيت ملحق تصديق الضيف على مجموعات مقاييس الجهاز الظاهري Linux المدعومة | قم بتثبيت ملحق تصديق الضيف على مجموعات مقاييس الجهاز الظاهري Linux المدعومة للسماح ل Microsoft Defender for Cloud بالتصديق على سلامة التمهيد ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. لا ينطبق هذا التقييم إلا على مجموعات مقاييس الجهاز الظاهري لنظام التشغيل Linux الموثوق بها. هام: يتطلب الإطلاق الموثوق به إنشاء أجهزة افتراضية جديدة. لا يمكنك تمكين التشغيل الموثوق به على الأجهزة الظاهرية الحالية التي تم إنشاؤها في البداية بدونها. تعرف على المزيد حول التشغيل الموثوق به لأجهزة Azure الظاهرية. (لا توجد سياسة ذات صلة) |
منخفض |
| يجب تثبيت ملحق تصديق الضيف على أجهزة Linux الظاهرية المُعتمدة | قم بتثبيت ملحق تصديق الضيف على أجهزة Linux الظاهرية المدعومة للسماح ل Microsoft Defender for Cloud بالتصديق على سلامة التمهيد ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم فقط على أجهزة Linux الظاهرية التي تم تمكين التشغيل الموثوق بها. هام: يتطلب الإطلاق الموثوق به إنشاء أجهزة افتراضية جديدة. لا يمكنك تمكين التشغيل الموثوق به على الأجهزة الظاهرية الحالية التي تم إنشاؤها في البداية بدونها. تعرف على المزيد حول التشغيل الموثوق به لأجهزة Azure الظاهرية. (لا توجد سياسة ذات صلة) |
منخفض |
| يجب تثبيت ملحق تصديق الضيف على مجموعات مقاييس الجهاز الظاهري Windows المدعومة | قم بتثبيت ملحق تصديق الضيف على مجموعات مقاييس الجهاز الظاهري المدعومة للسماح ل Microsoft Defender for Cloud بالتصديق على سلامة التمهيد ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. لا ينطبق هذا التقييم إلا على مجموعات مقاييس الأجهزة الظاهرية الموثوق بها. هام: يتطلب الإطلاق الموثوق به إنشاء أجهزة افتراضية جديدة. لا يمكنك تمكين التشغيل الموثوق به على الأجهزة الظاهرية الحالية التي تم إنشاؤها في البداية بدونها. تعرف على المزيد حول التشغيل الموثوق به لأجهزة Azure الظاهرية. (لا توجد سياسة ذات صلة) |
منخفض |
| يجب تثبيت ملحق تصديق الضيف على أجهزة Windows الظاهرية المُعتمدة | قم بتثبيت ملحق تصديق الضيف على الأجهزة الظاهرية المدعومة للسماح ل Microsoft Defender for Cloud بالتصديق على سلامة التمهيد ومراقبتها بشكل استباقي. بمجرد التثبيت، سيتم التحقق من تكامل التمهيد عبر Remote Attestation. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل. هام: يتطلب الإطلاق الموثوق به إنشاء أجهزة افتراضية جديدة. لا يمكنك تمكين التشغيل الموثوق به على الأجهزة الظاهرية الحالية التي تم إنشاؤها في البداية بدونها. تعرف على المزيد حول التشغيل الموثوق به لأجهزة Azure الظاهرية. (لا توجد سياسة ذات صلة) |
منخفض |
| يجب تثبيت ملحق تكوين الضيف على الأجهزة | لضمان تكوينات آمنة لإعدادات داخل الضيف للجهاز، قم بتثبيت ملحق تكوين الضيف. إعدادات الضيف الوارد التي تتضمن أجهزة عرض الملحق تتضمن تكوين نظام التشغيل وتكوين التطبيق أو التواجد وإعدادات البيئة. بمجرد تثبيتها، ستكون نُهج الضيف الوارد متاحة مثل «يجب تمكين حماية استغلال Windows». تعرف على المزيد. (السياسة ذات الصلة: يجب أن تحتوي الأجهزة الظاهرية على ملحق تكوين الضيف) |
متوسط |
| تثبيت حل حماية نقطة النهاية على الأجهزة الظاهرية | قم بتثبيت حل حماية نقطة النهاية على أجهزتك الظاهرية، لحمايتها من التهديدات ونقاط الضعف. (السياسة ذات الصلة: مراقبة Endpoint Protection المفقودة في مركز أمان Azure) |
درجة عالية |
| يجب أن تفرض الأجهزة الظاهرية لنظام التشغيل Linux التحقق من صحة توقيع وحدة kernel النمطية | للمساعدة في التخفيف من تنفيذ التعليمات البرمجية الضارة أو غير المصرح بها في وضع kernel، فرض التحقق من صحة توقيع وحدة kernel النمطية على أجهزة Linux الظاهرية المدعومة. يضمن التحقق من صحة توقيع الوحدة النمطية ل Kernel السماح بتشغيل وحدات kernel النمطية الموثوق بها فقط. ينطبق هذا التقييم فقط على أجهزة Linux الظاهرية التي تم تثبيت Azure Monitor Agent عليها. (لا توجد سياسة ذات صلة) |
منخفض |
| يجب أن تستخدم الأجهزة الظاهرية لنظام التشغيل Linux مكونات تمهيد موقعة وموثوق بها فقط | مع تمكين التمهيد الآمن، يجب توقيع جميع مكونات تمهيد نظام التشغيل (محمل التمهيد والنواة وبرامج تشغيل kernel) من قبل ناشرين موثوق بهم. حددت Defender for Cloud مكونات تمهيد نظام التشغيل غير الموثوق بها على واحد أو أكثر من أجهزة Linux الخاصة بك. لحماية أجهزتك من المكونات التي يحتمل أن تكون ضارة، أضفها إلى قائمة السماح أو أزل المكونات المحددة. (لا توجد سياسة ذات صلة) |
منخفض |
| يجب أن تستخدم الأجهزة الظاهرية لينكس التمهيد الآمن | للحماية من تثبيت أدوات التشغيل الجذرية ومجموعات التمهيد المستندة إلى البرامج الضارة، قم بتمكين Secure Boot على أجهزة Linux الافتراضية المدعومة. يضمن Secure Boot السماح بتشغيل أنظمة التشغيل وبرامج التشغيل الموقعة فقط. ينطبق هذا التقييم فقط على أجهزة Linux الظاهرية التي تم تثبيت Azure Monitor Agent عليها. (لا توجد سياسة ذات صلة) |
منخفض |
| يجب تثبيت عامل Log Analytics على الأجهزة التي تدعم Azure Arc المستندة إلى Linux | يستخدم Defender for Cloud عامل Log Analytics (المعروف أيضا باسم OMS) لجمع أحداث الأمان من أجهزة Azure Arc. لنشر العامل على جميع أجهزة Azure Arc، اتبع خطوات المعالجة. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب تثبيت عامل Log Analytics على مجموعات مقاييس الجهاز الظاهري | يقوم Defender for Cloud بجمع البيانات من أجهزة Azure الظاهرية (VMs) لمراقبة الثغرات الأمنية والتهديدات. يتم تجميع البيانات باستخدام عامل Log Analytics، المعروف سابقا باسم عامل مراقبة Microsoft (MMA)، الذي يقرأ العديد من التكوينات وسجلات الأحداث المتعلقة بالأمان من الجهاز وينسخ البيانات إلى مساحة العمل الخاصة بك لتحليلها. ستحتاج أيضا إلى اتباع هذا الإجراء إذا تم استخدام الأجهزة الظاهرية الخاصة بك بواسطة خدمة مدارة من Azure مثل Azure Kubernetes Service أو Azure Service Fabric. لا يمكنك تكوين إدارة الحسابات التلقائية للوكيل لمجموعات مقياس الجهاز الظاهري Azure. لنشر العامل على مجموعات مقياس الجهاز الظاهري (بما في ذلك تلك المستخدمة من قبل الخدمات المدارة من Azure مثل Azure Kubernetes Service وAzure Service Fabric)، اتبع الإجراء الوارد في خطوات المعالجة. (السياسة ذات الصلة: يجب تثبيت عامل Log Analytics على مجموعات مقاييس الجهاز الظاهري لمراقبة مركز أمان Azure) |
درجة عالية |
| يجب تثبيت وكيل Log Analytics على الأجهزة الظاهرية | يقوم Defender for Cloud بجمع البيانات من أجهزة Azure الظاهرية (VMs) لمراقبة الثغرات الأمنية والتهديدات. يتم جمع البيانات باستخدام عامل Log Analytics، المعروف سابقا باسم عامل مراقبة Microsoft (MMA)، الذي يقرأ العديد من التكوينات وسجلات الأحداث المتعلقة بالأمان من الجهاز وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. هذا العامل مطلوب أيضا إذا تم استخدام الأجهزة الظاهرية الخاصة بك بواسطة خدمة مدارة من Azure مثل Azure Kubernetes Service أو Azure Service Fabric. نوصي بتهيئة إدارة الحسابات التلقائية لنشر الوكيل تلقائيا. إذا اخترت عدم استخدام إدارة الحسابات التلقائية، فقم بنشر العامل يدويا على الأجهزة الظاهرية باستخدام الإرشادات الواردة في خطوات المعالجة. (السياسة ذات الصلة: يجب تثبيت عامل Log Analytics على جهازك الظاهري لمراقبة مركز أمان Azure) |
درجة عالية |
| يجب تثبيت عامل Log Analytics على الأجهزة التي تدعم Azure Arc المستندة إلى Windows | يستخدم Defender for Cloud عامل Log Analytics (المعروف أيضا باسم MMA) لجمع أحداث الأمان من أجهزة Azure Arc. لنشر العامل على جميع أجهزة Azure Arc، اتبع خطوات المعالجة. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب تكوين الآلات بشكل آمن | قم بمعالجة الثغرات الأمنية في تكوين الأمان على أجهزتك لحمايتها من الهجمات. (السياسة ذات الصلة: يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزتك) |
منخفض |
| يجب إعادة تشغيل الأجهزة لتطبيق تحديثات تكوين الأمان | لتطبيق تحديثات تكوين الأمان والحماية من الثغرات الأمنية، أعد تشغيل الأجهزة. ينطبق هذا التقييم فقط على أجهزة Linux الظاهرية التي تم تثبيت Azure Monitor Agent عليها. (لا توجد سياسة ذات صلة) |
منخفض |
| يجب أن يكون لدى الآلات حل لتقييم نقاط الضعف | يقوم Defender for Cloud بفحص أجهزتك المتصلة بانتظام للتأكد من أنها تعمل بأدوات تقييم الثغرات الأمنية. استخدم هذه التوصية لنشر حل لتقييم الثغرات الأمنية. (السياسة ذات الصلة: يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الافتراضية) |
متوسط |
| يجب أن يتم حل نتائج الضعف في الآلات | حل النتائج المستخلصة من حلول تقييم الثغرات الأمنية على أجهزتك الافتراضية. (السياسة ذات الصلة: يجب تمكين حل تقييم الثغرات الأمنية على أجهزتك الافتراضية) |
منخفض |
| يجب حماية منافذ إدارة الأجهزة الافتراضية من خلال التحكم في الوصول إلى الشبكة في الوقت المناسب | حددت Defender for Cloud بعض القواعد الواردة المتساهلة بشكل مفرط لمنافذ الإدارة في مجموعة أمان الشبكة الخاصة بك. قم بتمكين التحكم في الوصول في الوقت المناسب لحماية جهازك الظاهري من هجمات القوة الغاشمة المستندة إلى الإنترنت. تعرف على المزيد في فهم الوصول إلى الأجهزة الظاهرية في الوقت المناسب (JIT). (السياسة ذات الصلة: يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المناسب) |
درجة عالية |
| يجب تمكين Microsoft Defender للخوادم | يوفر Microsoft Defender للخوادم حماية من التهديدات في الوقت الفعلي لأحمال عمل الخادم الخاص بك ويقوم بإنشاء توصيات تصلب بالإضافة إلى تنبيهات حول الأنشطة المشبوهة. يمكنك استخدام هذه المعلومات لمعالجة مشكلات الأمان بسرعة وتحسين أمان خوادمك. ملاحظة مهمة: سيؤدي معالجة هذه التوصية إلى فرض رسوم على حماية خوادمك. إذا لم يكن لديك أي خوادم في هذا الاشتراك، فلن يتم تكبد أي رسوم. إذا قمت بإنشاء أي خوادم على هذا الاشتراك في المستقبل ، حمايتها تلقائيا وستبدأ الرسوم في ذلك الوقت. تعرف على المزيد في مقدمة Azure Defender للخوادم. (السياسة ذات الصلة: يجب تمكين Azure Defender للخوادم) |
درجة عالية |
| يجب تمكين Microsoft Defender للخوادم على مساحات العمل | يوفر Microsoft Defender للخوادم اكتشاف التهديدات والدفاعات المتقدمة لأجهزة Windows وLinux الخاصة بك. مع تمكين خطة Defender هذه على اشتراكاتك ولكن ليس على مساحات العمل الخاصة بك ، فأنت تدفع مقابل القدرة الكاملة ل Microsoft Defender للخوادم ولكنك تفوت بعض الفوائد. عند تمكين Microsoft Defender للخوادم الموجودة على مساحة عمل، ستتم فوترة جميع الأجهزة التي تقدم تقارير إلى مساحة العمل هذه مقابل Microsoft Defender للخوادم - حتى إذا كانت في اشتراكات دون تمكين خطط Defender. ما لم تقم أيضا بتمكين Microsoft Defender للخوادم الموجودة في الاشتراك، فلن تتمكن هذه الأجهزة من الاستفادة من الوصول إلى الأجهزة الظاهرية في الوقت المناسب وعناصر التحكم في التطبيقات التكيفية واكتشافات الشبكة لموارد Azure. تعرف على المزيد في مقدمة Azure Defender للخوادم. (لا توجد سياسة ذات صلة) |
متوسط |
| يجب تحديد سياسات أمان Pod على خدمات Kubernetes (مهملة) | (مهمل) حدد سياسات أمان Pod لتقليل متجه الهجوم عن طريق إزالة امتيازات التطبيق غير الضرورية. يوصى بتكوين نهج أمان Pod للتأكد من أن البودات التي تطلب موارد لا تسمح بها لا يمكنها التشغيل في مجموعة AKS. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب أن يؤدي تشغيل صور الحاويات إلى حل نتائج الثغرات الأمنية | يقوم تقييم الثغرات الأمنية في صورة الحاوية بفحص صور الحاويات التي تعمل على مجموعات Kubernetes بحثا عن ثغرات أمنية ويعرض النتائج التفصيلية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين الوضع الأمني للحاويات بشكل كبير وحمايتها من الهجمات. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب تمكين Secure Boot على أجهزة Windows الظاهرية المُعتمدة | قم بتمكين التمهيد الآمن على أجهزة Windows الظاهرية المدعومة؛ للتخفيف من التغييرات الضارة وغير المصرح بها لسلسلة التمهيد. بمجرد التمكين، سيتم السماح بتشغيل أدوات تحميل التشغيل وkernel وبرامج تشغيله فقط. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل على Windows. هام: يتطلب الإطلاق الموثوق به إنشاء أجهزة افتراضية جديدة. لا يمكنك تمكين التشغيل الموثوق به على الأجهزة الظاهرية الحالية التي تم إنشاؤها في البداية بدونها. تعرف على المزيد حول التشغيل الموثوق به لأجهزة Azure الظاهرية.. (لا توجد سياسة ذات صلة) |
منخفض |
| يجب أن تحتوي مجموعات تصميم الخدمة على الخاصية ClusterProtectionLevel معينة إلى EncryptAndSign | يوفر Service Fabric ثلاثة مستويات من الحماية (None، وSign، وEncryptAndSign) للاتصال عقدة إلى عقدة باستخدام شهادة نظام مجموعة أساسية. قم بتعيين مستوى الحماية لضمان تشفير جميع الرسائل من عقدة إلى عقدة وتوقيعها رقميا. (النهج ذي الصلة: يجب أن تحتوي مجموعات نسيج الخدمة على الخاصية ClusterProtectionLevel المعينة إلى EncryptAndSign) |
درجة عالية |
| يجب أن تقوم مجموعات Service Fabric باستخدام Microsoft Azure Active Directory فقط لمصادقة العميل | إجراء مصادقة العميل فقط عبر Azure Active Directory في Service Fabric (النهج ذات الصلة: يجب أن تستخدم مجموعات نسيج الخدمة Azure Active Directory فقط لمصادقة العميل) |
درجة عالية |
| يُجرى تثبيت تحديثات النظام على مجموعات نطاقات الجهاز الافتراضي | قم بتثبيت أمان النظام المفقود والتحديثات الهامة لتأمين مجموعات مقياس الجهاز الظاهري Windows وLinux. (السياسة ذات الصلة: يجب تثبيت تحديثات النظام على مجموعات مقاييس الجهاز الظاهري) |
درجة عالية |
| يجب تثبيت تحديثات النظام على أجهزتك | تثبيت أمان النظام المفقود والتحديثات الهامة لتأمين الأجهزة الظاهرية وأجهزة الكمبيوتر Windows وLinux (السياسة ذات الصلة: يجب تثبيت تحديثات النظام على أجهزتك) |
درجة عالية |
| يجب تثبيت تحديثات النظام على أجهزتك (مدعوما من مركز التحديث) | تفتقر أجهزتك إلى تحديثات النظام والأمان والتحديثات الهامة. غالبا ما تتضمن تحديثات البرامج تصحيحات مهمة لثغرات الأمان. غالبا ما يتم استغلال هذه الثغرات في هجمات البرامج الضارة ، لذا من الضروري الحفاظ على تحديث برامجك. لتثبيت جميع التصحيحات المعلقة وتأمين أجهزتك، اتبع خطوات المعالجة. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب تكوين مجموعات مقاييس الجهاز الظاهري بشكل آمن | قم بمعالجة الثغرات الأمنية في تكوين الأمان على مجموعات مقياس الجهاز الظاهري لحمايتها من الهجمات. (السياسة ذات الصلة: يجب معالجة الثغرات الأمنية في تكوين الأمان على مجموعات مقاييس الجهاز الظاهري) |
درجة عالية |
| يجب أن تكون حالة شهادة الضيف للأجهزة الافتراضية صحية | يتم إجراء تصديق الضيف عن طريق إرسال سجل موثوق به (TCGLog) إلى خادم تصديق. يستخدم الخادم هذه السجلات لتحديد ما إذا كانت مكونات التمهيد جديرة بالثقة. يهدف هذا التقييم إلى اكتشاف الاختراقات في سلسلة التمهيد التي قد تكون نتيجة التعرض إلى bootkit أو rootkit. ينطبق هذا التقييم فقط على الأجهزة الظاهرية التي تم تمكين "التشغيل الموثوق به" والتي تم تثبيت ملحق "تصديق الضيف" عليها. (لا توجد سياسة ذات صلة) |
متوسط |
| يجب نشر ملحق تكوين الضيف للأجهزة الظاهرية باستخدام هوية مدارة معينة من قبل النظام | يتطلب ملحق Guest Configuration هوية مدارة معينة من قبل النظام. ستكون أجهزة Azure الظاهرية في نطاق هذا النهج غير ممتثلة عندما يكون ملحق تكوين الضيف مثبتاً ولكن ليس لديها نظام معين هوية مدارة. معرفة المزيد (السياسة ذات الصلة: يجب نشر ملحق تكوين الضيف على أجهزة Azure الظاهرية ذات الهوية المدارة المعينة للنظام) |
متوسط |
| يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة | تم إهمال الأجهزة الظاهرية (الكلاسيكية) ويجب ترحيل هذه الأجهزة الظاهرية إلى Azure Resource Manager. نظرا لأن Azure Resource Manager يتمتع الآن بإمكانات IaaS الكاملة والتطورات الأخرى، فقد أوقفنا إدارة الأجهزة الظاهرية IaaS (VMs) من خلال Azure Service Manager (ASM) في 28 فبراير 2020. سيتم إيقاف هذه الوظيفة بالكامل في 1 مارس 2023. لعرض جميع الأجهزة الظاهرية الكلاسيكية المتأثرة، تأكد من تحديد جميع اشتراكات Azure ضمن علامة التبويب "الدلائل + الاشتراكات". الموارد والمعلومات المتاحة حول ترحيل هذه الأداة & : نظرة عامة على إهمال الأجهزة الظاهرية (الكلاسيكية)، عملية خطوة بخطوة لترحيل & موارد Microsoft المتوفرة. تفاصيل حول الترحيل إلى Azure Resource Manager أداة الترحيل. الترحيل إلى Azure Resource Manager أداة ترحيل باستخدام PowerShell. (السياسة ذات الصلة: يجب ترحيل الأجهزة الظاهرية إلى موارد Azure Resource Manager الجديدة) |
درجة عالية |
| يجب أن تشفر الأجهزة الظاهرية الأقراص المؤقتة وذاكرات التخزين المؤقت وتدفق البيانات بين موارد الحوسبة والتخزين | بشكل افتراضي ، يتم تشفير نظام التشغيل وأقراص البيانات الخاصة بالجهاز الظاهري في حالة سكون باستخدام مفاتيح مدارة بواسطة النظام الأساسي ؛ لا يتم تشفير الأقراص المؤقتة وذاكرة التخزين المؤقت للبيانات، ولا يتم تشفير البيانات عند التدفق بين موارد الحوسبة والتخزين. لمقارنة تقنيات تشفير الأقراص المختلفة في Azure، راجع https://aka.ms/diskencryptioncomparison. استخدم تشفير قرص Azure لتشفير كل هذه البيانات. تجاهل هذه التوصية إذا: 1. أنت تستخدم ميزة التشفير في المضيف ، أو 2. يلبي التشفير من جانب الخادم على الأقراص المدارة متطلبات الأمان الخاصة بك. تعرف على المزيد في التشفير من جانب الخادم لتخزين قرص Azure. (السياسة ذات الصلة: يجب تطبيق تشفير القرص على الأجهزة الظاهرية) |
درجة عالية |
| يجب تمكين vTPM على الأجهزة الظاهرية المُعتمدة | تمكين جهاز TPM الظاهري على الأجهزة الظاهرية المدعومة لتسهيل Measured Boot، وميزات أمان نظام التشغيل الأخرى التي تتطلب TPM. بمجرد تمكين vTPM يمكن استخدامها لتشهد تكامل التمهيد. ينطبق هذا التقييم فقط على الأجهزة الظاهرية الموثوق بها التي تم تمكينها من التشغيل. هام: يتطلب الإطلاق الموثوق به إنشاء أجهزة افتراضية جديدة. لا يمكنك تمكين التشغيل الموثوق به على الأجهزة الظاهرية الحالية التي تم إنشاؤها في البداية بدونها. تعرف على المزيد حول التشغيل الموثوق به لأجهزة Azure الظاهرية. (لا توجد سياسة ذات صلة) |
منخفض |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزة Linux الخاصة بك (مدعوما بتكوين الضيف) | معالجة الثغرات الأمنية في تكوين الأمان على أجهزة Linux الخاصة بك لحمايتها من الهجمات. (السياسة ذات الصلة: يجب أن تفي أجهزة Linux بمتطلبات خط الأساس لأمان Azure) |
منخفض |
| يجب معالجة الثغرات الأمنية في تكوين الأمان على أجهزة Windows الخاصة بك (مدعوما بتكوين الضيف) | معالجة الثغرات الأمنية في تكوين الأمان على أجهزة Windows لحمايتها من الهجمات. (لا توجد سياسة ذات صلة) |
منخفض |
| يجب تمكين Windows Defender Exploit Guard على الأجهزة | يستخدم Windows Defender Exploit Guard عامل تكوين ضيف Azure Policy. يحتوي Exploit Guard على أربعة مكونات مصممة لتأمين الأجهزة ضد مجموعة واسعة من ناقلات الهجوم ومنع السلوكيات الشائعة الاستخدام في هجمات البرامج الضارة مع تمكين الشركات من تحقيق التوازن بين متطلبات المخاطر والإنتاجية الأمنية الخاصة بها (Windows فقط). (السياسة ذات الصلة: تدقيق Windows الأجهزة التي لم يتم تمكين Windows Defender Exploit Guard عليها) |
متوسط |
| يجب تكوين خوادم الويب في Windows لاستخدام بروتوكولات الاتصال الآمنة | لحماية خصوصية المعلومات التي تُرسل عبر الإنترنت، يجب أن تستخدم خوادم الويب لديك أحدث إصدار من بروتوكول التشفير المتوافق مع معايير الصناعة، وهو بروتوكول طبقة المقابس الآمنة. ويؤمِّن بروتوكول طبقة المقابس الآمنة الاتصالات عبر الشبكة باستخدام شهادات الأمان لتشفير الاتصال بين الأجهزة. (السياسة ذات الصلة: التدقيق Windows خوادم الويب التي لا تستخدم بروتوكولات اتصال آمنة) |
درجة عالية |
توصيات الحاوية
وهناك 24 توصية في هذه الفئة.
| التوصية | الوصف | الخطورة |
|---|---|---|
| [تمكين إذا لزم الأمر] يجب تشفير سجلات الحاويات باستخدام مفتاح يديره العميل (CMK) | لا يتم تقييم التوصيات لاستخدام المفاتيح التي يديرها العميل لتشفير البيانات في حالة السكون بشكل افتراضي، ولكنها متوفرة لتمكين السيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيا باستخدام المفاتيح المدارة من قبل النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بالامتثال أو متطلبات السياسة التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة سياسات الأمان. استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون بمحتويات السجلات. بشكل افتراضي، يتم تشفير البيانات في حالة السكون باستخدام المفاتيح المدارة بواسطة الخدمة، ولكن عادة ما تكون المفاتيح المدارة من قبل العميل (CMK) مطلوبة لتلبية معايير الامتثال التنظيمي. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. تتمتع بالسيطرة التامة والمسؤولية الكاملة عن دورة حياة المفتاح، بما في ذلك التناوب والإدارة. تعرف على المزيد حول تشفير CMK على https://aka.ms/acr/CMK . (السياسة ذات الصلة: يجب تشفير سجلات الحاويات باستخدام مفتاح يديره العميل (CMK)) |
منخفض |
| يجب أن يكون لدى Azure Arc-enabled Kubernetes clusters ملحق Azure Policy مثبتا | يعمل ملحق سياسة Azure ل Kubernetes على توسيع Gatekeeper v3، وهو خطاف ويب لوحدة تحكم القبول لوكيل السياسة المفتوحة (OPA)، لتطبيق عمليات التنفيذ والضمانات على نطاق واسع على مجموعاتك بطريقة مركزية ومتسقة. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب أن تحتوي Azure Kubernetes Service clusters على الوظيفة الإضافية لسياسة Azure ل Kubernetes المثبتة | تعمل الوظيفة الإضافية لسياسة Azure ل Kubernetes على توسيع Gatekeeper v3، وهو خطاف ويب لوحدة تحكم القبول لوكيل النهج المفتوح (OPA)، لتطبيق عمليات التنفيذ والضمانات على نطاق واسع على مجموعاتك بطريقة مركزية ومتسقة. يتطلب Defender for Cloud الوظيفة الإضافية لتدقيق وفرض قدرات الأمان والامتثال داخل مجموعاتك. تعرف على المزيد. يتطلب Kubernetes v1.14.0 أو أحدث. (السياسة ذات الصلة: يجب تثبيت الوظيفة الإضافية لنهج Azure لخدمة Kubernetes (AKS) وتمكينها على مجموعاتك) |
درجة عالية |
| يجب فرض حدود وحدة المعالجة المركزية والذاكرة في الحاوية | يؤدي فرض حدود وحدة المعالجة المركزية والذاكرة إلى منع هجمات استنفاد الموارد (شكل من أشكال هجوم رفض الخدمة). نوصي بتعيين حدود للحاويات للتأكد من أن وقت التشغيل يمنع الحاوية من استخدام أكثر من حد الموارد الذي تم تكوينه. (السياسة ذات الصلة: تأكد من أن حدود وحدة المعالجة المركزية وموارد الذاكرة للحاوية لا تتجاوز الحدود المحددة في مجموعة Kubernetes) |
متوسط |
| يجب نشر صور الحاويات من السجلات الموثوق بها فقط | يجب أن تأتي الصور التي تعمل على مجموعة Kubernetes الخاصة بك من سجلات صور الحاويات المعروفة والمراقبة. تقلل السجلات الموثوقة من مخاطر التعرض لمجموعتك عن طريق الحد من احتمال ظهور ثغرات أمنية غير معروفة ومشكلات أمنية وصور ضارة. (السياسة ذات الصلة: ضمان السماح فقط بصور الحاويات في مجموعة Kubernetes) |
درجة عالية |
| يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة | تقبل سجلات الحاويات Azure بشكل افتراضي الاتصالات عبر الإنترنت من المضيفين على أي شبكة اتصال. لحماية السجلات من التهديدات المحتملة، اسمح بالوصول من عناوين IP العامة أو نطاقات العناوين المحددة فقط. إذا لم يكن لدى التسجيل قاعدة IP/جدار الحماية أو شبكة ظاهرية مكونة، فسيظهر في الموارد غير الصحية. تعرّف على المزيد حول قواعد شبكة تسجيل الحاويات هنا: https://aka.ms/acr/portal/public-network وهنا https://aka.ms/acr/vnet. (السياسة ذات الصلة: يجب ألا تسمح سجلات الحاويات بالوصول غير المقيد إلى الشبكة) |
متوسط |
| يجب أن تستخدم سجلات الحاويات رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. ويعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى سجلات الحاويات الخاصة بك بدلا من الخدمة بأكملها ، ستتم حمايتك أيضا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/acr/private-link. (السياسة ذات الصلة: يجب أن تستخدم سجلات الحاويات رابطا خاصا) |
متوسط |
| يجب أن يتم حل نتائج الثغرات الأمنية في صور سجل الحاويات | يقوم تقييم الثغرات الأمنية في صورة الحاوية بفحص السجل بحثا عن ثغرات أمنية ويعرض النتائج التفصيلية لكل صورة. يمكن أن يؤدي حل الثغرات الأمنية إلى تحسين الوضع الأمني للحاويات بشكل كبير وحمايتها من الهجمات. (السياسة ذات الصلة: يجب معالجة الثغرات الأمنية في صور سجل حاوية Azure) |
درجة عالية |
| يجب تجنب الحاويات ذات الامتيازات المتصاعدة | يجب ألا تعمل الحاويات مع تصعيد الامتيازات إلى الجذر في مجموعة Kubernetes الخاصة بك. تتحكم السمة AllowPrivilegeEscalation فيما إذا كان بإمكان العملية الحصول على امتيازات أكثر من العملية الأصلية. (السياسة ذات الصلة: يجب ألا تسمح مجموعات Kubernetes بتصعيد امتيازات الحاويات) |
متوسط |
| يجب تجنب مشاركة الحاويات في مساحات أسماء المضيف الحساسة | للحماية من تصعيد الامتيازات خارج الحاوية، تجنب وصول جراب إلى مساحات أسماء المضيف الحساسة (معرف عملية المضيف وIPC المضيف) في مجموعة Kubernetes. (السياسة ذات الصلة: يجب ألا تشارك حاويات مجموعة Kubernetes معرف عملية المضيف أو مساحة اسم IPC للمضيف) |
متوسط |
| يجب أن تستمع الحاويات في الموانئ المسموح بها فقط | لتقليل سطح الهجوم لمجموعة Kubernetes الخاصة بك، قم بتقييد الوصول إلى المجموعة عن طريق تقييد وصول الحاويات إلى المنافذ التي تم تكوينها. (سياسة ذات صلة: ضمان استماع الحاويات فقط إلى الموانئ المسموح بها في مجموعة Kubernetes) |
متوسط |
| يجب أن تستخدم الحاويات ملفات تعريف AppArmor المسموح بها فقط | يجب أن تقتصر الحاويات التي تعمل على مجموعات Kubernetes على ملفات تعريف AppArmor المسموح بها فقط. ; AppArmor (Application Armor) هي وحدة أمان Linux تحمي نظام التشغيل وتطبيقاته من التهديدات الأمنية. لاستخدامه، يقوم مسؤول النظام بإقران ملف تعريف أمان AppArmor بكل برنامج. (السياسة ذات الصلة: يجب أن تستخدم حاويات مجموعة Kubernetes ملفات تعريف AppArmor المسموح بها فقط) |
درجة عالية |
| يجب فرض نظام الملفات الجذرية غير القابل للتغيير (للقراءة فقط) للحاويات | يجب تشغيل الحاويات باستخدام نظام ملفات جذر للقراءة فقط في مجموعة Kubernetes الخاصة بك. يحمي نظام الملفات غير القابل للتغيير الحاويات من التغييرات في وقت التشغيل مع إضافة ثنائيات ضارة إلى PATH. (السياسة ذات الصلة: يجب تشغيل حاويات مجموعة Kubernetes باستخدام نظام ملفات جذر للقراءة فقط) |
متوسط |
| يجب تكوين خادم Kubernetes API باستخدام وصول مقيد | للتأكد من أن التطبيقات من الشبكات أو الأجهزة أو الشبكات الفرعية المسموح بها فقط هي التي يمكنها الوصول إلى مجموعتك، قم بتقييد الوصول إلى خادم واجهة برمجة تطبيقات Kubernetes. يمكنك تقييد الوصول عن طريق تحديد نطاقات IP المصرح بها، أو عن طريق إعداد خوادم واجهة برمجة التطبيقات الخاصة بك كمجموعات خاصة كما هو موضح فيإنشاء مجموعة خدمة Azure Kubernetes خاصة. (السياسة ذات الصلة: ينبغي تحديد نطاقات IP المعتمدة على خدمات Kubernetes) |
درجة عالية |
| يجب أن تكون مجموعات Kubernetes متاحة فقط عبر HTTPS | يضمن استخدام HTTPS المصادقة ويحمي البيانات أثناء النقل من هجمات الاعتراض على طبقة الشبكة. تتوفر هذه الإمكانية حاليا بشكل عام لخدمة Kubernetes (AKS) ، وفي المعاينة ل AKS Engine و Kubernetes التي تدعم Azure Arc. لمزيد من المعلومات، تفضل بزيارة https://aka.ms/kubepolicydoc (السياسة ذات الصلة: فرض دخول HTTPS في مجموعة Kubernetes) |
درجة عالية |
| يجب أن تقوم مجموعات Kubernetes بنشر الصور الضعيفة | قم بحماية مجموعات Kubernetes وأحمال عمل الحاويات من التهديدات المحتملة عن طريق تقييد نشر صور الحاويات ذات مكونات البرامج الضعيفة. استخدم Defender لفحص CI/CD في CloudوMicrosoft Defender لسجلات الحاويات لتحديد الثغرات الأمنية وتصحيحها قبل النشر. المتطلبات الأساسية للتقييم: إضافة/إضافة سياسة Azure وملف تعريف/امتداد Defender. ينطبق فقط على عملاء المعاينة الخاصة. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب فرض قدرات Linux الأقل امتيازا على الحاويات | لتقليل سطح الهجوم في الحاوية الخاصة بك ، قم بتقييد إمكانات Linux ومنح امتيازات محددة للحاويات دون منح جميع امتيازات المستخدم الجذر. نوصي بإسقاط جميع الإمكانات ، ثم إضافة تلك المطلوبة (السياسة ذات الصلة: يجب أن تستخدم حاويات مجموعة Kubernetes القدرات المسموح بها فقط) |
متوسط |
| يجب تمكين Microsoft Defender للحاويات | يوفر Microsoft Defender للحاويات التحصين وتقييم نقاط الضعف والحماية في وقت التشغيل لبيئاتك في Azure والبيئات الهجينة ومتعددة السحابات. يمكنك استخدام هذه المعلومات لمعالجة مشكلات الأمان بسرعة وتحسين أمان حاوياتك. ملاحظة مهمة: سيؤدي معالجة هذه التوصية إلى فرض رسوم على حماية مجموعات Kubernetes. إذا لم يكن لديك أي مجموعات Kubernetes في هذا الاشتراك ، فلن يتم تكبد أي رسوم. إذا قمت بإنشاء أي مجموعات Kubernetes على هذا الاشتراك في المستقبل ، حمايتها تلقائيا وستبدأ الرسوم في ذلك الوقت. تعرف على المزيد في مقدمة حول Microsoft Defender for Containers. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب تجنب الحاويات المميزة | لمنع وصول المضيف غير المقيد، تجنب الحاويات المميزة كلما أمكن ذلك. تحتوي الحاويات المميزة على جميع إمكانات الجذر للجهاز المضيف. يمكن استخدامها كنقاط دخول للهجمات ونشر التعليمات البرمجية الضارة أو البرامج الضارة إلى التطبيقات والمضيفين والشبكات المخترقة. (السياسة ذات الصلة: لا تسمح بالحاويات المميزة في مجموعة Kubernetes) |
متوسط |
| يجب استخدام التحكم في الوصول المستند إلى الدور على خدمات Kubernetes | لتوفير تصفية تجميعية على الإجراءات التي يمكن للمستخدمين تنفيذها، استخدم التحكم في الوصول استنادًا إلى الدور (RBAC) لإدارة الأذونات في مجموعات خدمة Kubernetes وتكوين نُهج التفويض ذات الصلة. لمزيد من المعلومات، راجع التحكم في الوصول المستند إلى دور Azure. (سياسة ذات صلة: يجب استخدام التحكم في الوصول القائم على الأدوار (RBAC) على خدمات Kubernetes) |
درجة عالية |
| يجب تجنب تشغيل الحاويات كمستخدم جذر | يجب ألا يتم تشغيل الحاويات كمستخدمين جذريين في مجموعة Kubernetes الخاصة بك. تشغيل عملية كمستخدم جذر داخل حاوية يقوم بتشغيلها كجذر على المضيف. إذا كان هناك حل وسط ، فإن المهاجم له جذر في الحاوية ، ويصبح من الأسهل استغلال أي تكوينات خاطئة. (السياسة ذات الصلة: يجب أن تعمل القرون والحاويات العنقودية Kubernetes فقط مع معرفات المستخدم والمجموعة المعتمدة) |
درجة عالية |
| يجب أن تستمع الخدمات على المنافذ المسموح بها فقط | لتقليل سطح الهجوم لمجموعة Kubernetes الخاصة بك، قم بتقييد الوصول إلى المجموعة عن طريق تقييد وصول الخدمات إلى المنافذ التي تم تكوينها. (سياسة ذات صلة: ضمان استماع الخدمات فقط على المنافذ المسموح بها في مجموعة Kubernetes) |
متوسط |
| يجب تقييد استخدام الشبكات والمنافذ المضيفة | يجب تقييد الوصول إلى شبكة المضيف ونطاق منفذ المضيف المسموح به في مجموعة Kubernetes. ستشارك القرون التي تم إنشاؤها باستخدام سمة hostNetwork الممكنة مساحة شبكة العقدة. لتجنب الحاوية المخترقة من استنشاق حركة مرور الشبكة ، نوصي بعدم وضع القرون على الشبكة المضيفة. إذا كنت بحاجة إلى كشف منفذ حاوية على شبكة العقدة ، واستخدام منفذ عقدة Kubernetes Service لا يلبي احتياجاتك ، فهناك احتمال آخر هو تحديد hostPort للحاوية في مواصفات pod. (السياسة ذات الصلة: يجب أن تستخدم قرون مجموعة Kubernetes فقط شبكة المضيف المعتمدة ونطاق المنفذ) |
متوسط |
| يجب أن يقتصر استخدام حوامل وحدة تخزين pod HostPath على قائمة معروفة لتقييد الوصول إلى العقدة من الحاويات المخترقة | نوصي بالحد من حوامل وحدة تخزين HostPath في مجموعة Kubernetes الخاصة بك إلى مسارات المضيف المسموح بها التي تم تكوينها. إذا كان هناك حل وسط، فيجب تقييد الوصول إلى عقدة الحاوية من الحاويات. (السياسة ذات الصلة: يجب أن تستخدم وحدات تخزين Kubernetes cluster pod hostPath مسارات المضيف المسموح بها فقط) |
متوسط |
توصيات البيانات
وهناك 78 توصية في هذه الفئة.
| التوصية | الوصف | الخطورة |
|---|---|---|
| [تمكين إذا لزم الأمر] يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العميل لتشفير البيانات في وضع السكون | لا يتم تقييم التوصيات لاستخدام المفاتيح التي يديرها العميل لتشفير البيانات في حالة السكون بشكل افتراضي، ولكنها متوفرة لتمكين السيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيا باستخدام المفاتيح المدارة من قبل النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بالامتثال أو متطلبات السياسة التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة سياسات الأمان. استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لـ Azure Cosmos DB. بشكل افتراضي، يتم تشفير البيانات في حالة السكون باستخدام المفاتيح المدارة بواسطة الخدمة، ولكن عادة ما تكون المفاتيح المدارة من قبل العميل (CMK) مطلوبة لتلبية معايير الامتثال التنظيمي. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. تتمتع بالسيطرة التامة والمسؤولية الكاملة عن دورة حياة المفتاح، بما في ذلك التناوب والإدارة. تعرف على المزيد حول تشفير CMK على https://aka.ms/cosmosdb-cmk . (السياسة ذات الصلة: يجب أن تستخدم حسابات Azure Cosmos DB المفاتيح التي يديرها العميل لتشفير البيانات في حالة السكون) |
منخفض |
| [تمكين إذا لزم الأمر] يجب تشفير مساحات عمل Azure التعلم الآلي باستخدام مفتاح مدار من قبل العميل (CMK) | لا يتم تقييم التوصيات لاستخدام المفاتيح التي يديرها العميل لتشفير البيانات في حالة السكون بشكل افتراضي، ولكنها متوفرة لتمكين السيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيا باستخدام المفاتيح المدارة من قبل النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بالامتثال أو متطلبات السياسة التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة سياسات الأمان. يمكنك إدارة التشفير في بقية بيانات مساحة عمل Azure التعلم الآلي باستخدام المفاتيح التي يديرها العميل (CMK). بشكل افتراضي ، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة ، ولكن عادة ما تكون CMKs مطلوبة لتلبية معايير الامتثال التنظيمي. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. تتمتع بالسيطرة التامة والمسؤولية الكاملة عن دورة حياة المفتاح، بما في ذلك التناوب والإدارة. تعرف على المزيد حول تشفير CMK على https://aka.ms/azureml-workspaces-cmk . (النهج ذات الصلة: يجب تشفير مساحات عمل Azure التعلم الآلي باستخدام مفتاح مدار من قبل العميل (CMK)) |
منخفض |
| [تمكين إذا لزم الأمر] يجب أن تمكن حسابات الخدمات المعرفية تشفير البيانات باستخدام مفتاح يديره العميل (CMK) | لا يتم تقييم التوصيات لاستخدام المفاتيح التي يديرها العميل لتشفير البيانات في حالة السكون بشكل افتراضي، ولكنها متوفرة لتمكين السيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيا باستخدام المفاتيح المدارة من قبل النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بالامتثال أو متطلبات السياسة التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة سياسات الأمان. عادة ما تكون المفاتيح المدارة من قبل العميل (CMK) مطلوبة لتلبية معايير الامتثال التنظيمي. تمكن CMKs البيانات المخزنة في الخدمات المعرفية من التشفير باستخدام مفتاح Azure Key Vault تم إنشاؤه وامتلاكه من قبلك. تتمتع بالسيطرة التامة والمسؤولية الكاملة عن دورة حياة المفتاح، بما في ذلك التناوب والإدارة. تعرف على المزيد حول تشفير CMK على https://aka.ms/cosmosdb-cmk . (السياسة ذات الصلة: يجب أن تمكن حسابات الخدمات المعرفية تشفير البيانات باستخدام مفتاح يديره العميل؟( CMK)) |
منخفض |
| [تمكين إذا لزم الأمر] يجب أن تستخدم خوادم MySQL المفاتيح التي يديرها العميل لتشفير البيانات في حالة عدم الراحة | لا يتم تقييم التوصيات لاستخدام المفاتيح التي يديرها العميل لتشفير البيانات في حالة السكون بشكل افتراضي، ولكنها متوفرة لتمكين السيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيا باستخدام المفاتيح المدارة من قبل النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بالامتثال أو متطلبات السياسة التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة سياسات الأمان. استخدم المفاتيح المُدارة بواسطة العميل لإدارة التشفير الثابت لخوادم MySQL. بشكل افتراضي، يتم تشفير البيانات في حالة السكون باستخدام المفاتيح المدارة بواسطة الخدمة، ولكن عادة ما تكون المفاتيح المدارة من قبل العميل (CMK) مطلوبة لتلبية معايير الامتثال التنظيمي. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. تتمتع بالسيطرة التامة والمسؤولية الكاملة عن دورة حياة المفتاح، بما في ذلك التناوب والإدارة. (السياسة ذات الصلة: يجب تمكين حماية البيانات الرئيسية الخاصة بك لخوادم MySQL) |
منخفض |
| [تمكين إذا لزم الأمر] يجب أن تستخدم خوادم PostgreSQL المفاتيح التي يديرها العميل لتشفير البيانات في حالة السكون | لا يتم تقييم التوصيات لاستخدام المفاتيح التي يديرها العميل لتشفير البيانات في حالة السكون بشكل افتراضي، ولكنها متوفرة لتمكين السيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيا باستخدام المفاتيح المدارة من قبل النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بالامتثال أو متطلبات السياسة التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة سياسات الأمان. استخدم المفاتيح المُدارة بواسطة العميل لإدارة تشفير البيانات الثابتة لخوادم PostgreSQL. بشكل افتراضي، يتم تشفير البيانات في حالة السكون باستخدام المفاتيح المدارة بواسطة الخدمة، ولكن عادة ما تكون المفاتيح المدارة من قبل العميل (CMK) مطلوبة لتلبية معايير الامتثال التنظيمي. تمكن CMKs من تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. تتمتع بالسيطرة التامة والمسؤولية الكاملة عن دورة حياة المفتاح، بما في ذلك التناوب والإدارة. (السياسة ذات الصلة: يجب تمكين حماية البيانات الرئيسية الخاصة بك لخوادم PostgreSQL) |
منخفض |
| [تمكين إذا لزم الأمر] يجب أن تستخدم SQL المثيلات المدارة المفاتيح التي يديرها العميل لتشفير البيانات في وضع السكون | لا يتم تقييم التوصيات لاستخدام المفاتيح التي يديرها العميل لتشفير البيانات في حالة السكون بشكل افتراضي، ولكنها متوفرة لتمكين السيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيا باستخدام المفاتيح المدارة من قبل النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بالامتثال أو متطلبات السياسة التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة سياسات الأمان. يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام مفتاحك الخاص مزيداً من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. (السياسة ذات الصلة: يجب أن تستخدم SQL المثيلات المدارة المفاتيح التي يديرها العميل لتشفير البيانات في حالة السكون) |
منخفض |
| [تمكين إذا لزم الأمر] يجب أن تستخدم SQL الخوادم المفاتيح التي يديرها العميل لتشفير البيانات في حالة السكون | لا يتم تقييم التوصيات لاستخدام المفاتيح التي يديرها العميل لتشفير البيانات في حالة السكون بشكل افتراضي، ولكنها متوفرة لتمكين السيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيا باستخدام المفاتيح المدارة من قبل النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بالامتثال أو متطلبات السياسة التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة سياسات الأمان. يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام مفتاحك الخاص مزيداً من الشفافية والتحكم في TDE Protector، وزيادة الأمان من خلال خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. (السياسة ذات الصلة: يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العميل لتشفير البيانات في حالة السكون) |
منخفض |
| [تمكين إذا لزم الأمر] يجب أن تستخدم حسابات التخزين المفتاح المدار من قبل العميل (CMK) للتشفير | لا يتم تقييم التوصيات لاستخدام المفاتيح التي يديرها العميل لتشفير البيانات في حالة السكون بشكل افتراضي، ولكنها متوفرة لتمكين السيناريوهات القابلة للتطبيق. يتم تشفير البيانات تلقائيا باستخدام المفاتيح المدارة من قبل النظام الأساسي، لذلك يجب تطبيق استخدام المفاتيح المدارة من قبل العميل فقط عند الالتزام بالامتثال أو متطلبات السياسة التقييدية. لتمكين هذه التوصية، انتقل إلى نهج الأمان الخاص بك للنطاق القابل للتطبيق، وقم بتحديث معلمة التأثير للنهج المقابل لتدقيق أو فرض استخدام المفاتيح التي يديرها العميل. تعرف على المزيد في إدارة سياسات الأمان. قم بتأمين حساب التخزين الخاص بك بمرونة أكبر باستخدام المفاتيح المدارة من قبل العميل (CMKs). عند تحديد CMK، يتم استخدام هذا المفتاح لحماية الوصول إلى المفتاح الذي يشفر بياناتك والتحكم فيه. يوفر استخدام CMKs إمكانات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. (السياسة ذات الصلة: يجب أن تستخدم حسابات التخزين المفتاح المدار من قبل العميل (CMK) للتشفير) |
منخفض |
| يجب تمكين جميع أنواع الحماية المتقدمة من التهديدات في إعدادات أمان البيانات المتقدمة للمثيل SQL مدار | يوصى بتمكين جميع أنواع الحماية المتقدمة من التهديدات على مثيلات SQL المدارة. تمكين جميع الأنواع يحمي من حقن SQL ، ونقاط الضعف في قاعدة البيانات ، وأي أنشطة شاذة أخرى. (لا توجد سياسة ذات صلة) |
متوسط |
| يجب تمكين جميع أنواع الحماية المتقدمة من التهديدات في إعدادات أمان البيانات المتقدمة SQL الخادم | يوصى بتمكين جميع أنواع الحماية المتقدمة من التهديدات على خوادم SQL الخاصة بك. تمكين جميع الأنواع يحمي من حقن SQL ، ونقاط الضعف في قاعدة البيانات ، وأي أنشطة شاذة أخرى. (لا توجد سياسة ذات صلة) |
متوسط |
| يجب أن تستخدم خدمات إدارة واجهة برمجة التطبيقات شبكة اتصال ظاهرية | يوفر نشر Azure Virtual Network أمانًا وعزلًا محسنًا ويسمح بوضع خدمة إدارة واجهة برمجة التطبيقات في شبكة غير قابلة للتوجيه عبر الإنترنت تتحكم في الوصول إليها. ويمكن بعد ذلك ربط هذه الشبكات بالشبكات المحلية باستخدام تقنيات VPN المختلفة، والتي تمكن من الوصول إلى خدمات الواجهة الخلفية داخل الشبكة و/أو في الموقع. ويمكن تكوين مدخل المطور ومدخل واجهة برمجة التطبيقات بحيث يمكن الوصول إليها إما عبر الإنترنت أو فقط من داخل الشبكة الظاهرية. (السياسة ذات الصلة: يجب أن تستخدم خدمات إدارة واجهة برمجة التطبيقات شبكة افتراضية) |
متوسط |
| يجب أن يستخدم تكوين التطبيق رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. ويعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لمثيلات تكوين التطبيق بدلًا من الخدمة بأكملها، ستكون محميًا من مخاطر تسرب البيانات أيضًا. تعرف على المزيد من خلال: https://aka.ms/appconfig/private-endpoint. (السياسة ذات الصلة: يجب أن يستخدم تكوين التطبيق رابطا خاصا) |
متوسط |
| يجب تعيين الاحتفاظ بالتدقيق لخوادم SQL إلى 90 يوما على الأقل | تدقيق خوادم SQL المكونة مع فترة استبقاء تدقيق أقل من 90 يوماً. (السياسة ذات الصلة: يجب تكوين خوادم SQL مع الاحتفاظ بالتدقيق لمدة 90 يوما أو أعلى.) |
منخفض |
| يجب تمكين التدقيق على خادم SQL | قم بتمكين التدقيق على SQL Server الخاص بك لتتبع أنشطة قاعدة البيانات عبر جميع قواعد البيانات على الخادم وحفظها في سجل تدقيق. (السياسة ذات الصلة: يجب تمكين التدقيق على خادم SQL) |
منخفض |
| يجب تمكين التوفير التلقائي لوكيل Log Analytics على الاشتراكات | لمراقبة الثغرات الأمنية والتهديدات، يقوم Microsoft Defender for Cloud بتجميع البيانات من أجهزة Azure الظاهرية. يتم جمع البيانات بواسطة وكيل Log Analytics، المعروف سابقاً باسم Microsoft Monitoring Agent (MMA)، والذي يقرأ التكوينات المختلفة المتعلقة بالأمان وسجلات الأحداث الواردة من الجهاز وينسخ البيانات إلى مساحة عمل Log Analytics لتحليلها. نوصي بتمكين التوفير التلقائي لنشر الوكيل تلقائياً على كل أجهزة Azure الظاهرية المعتمدة وأي وحدات جديدة يتم إنشاؤها. (السياسة ذات الصلة: يجب تمكين التوفير التلقائي لوكيل Log Analytics في اشتراكك) |
منخفض |
| يجب أن تحتوي مجموعات Kubernetes التي تدعم Azure Arc على ملحق Defender مثبتا | يوفر امتداد Defender ل Azure Arc حماية من التهديدات لمجموعات Kubernetes التي تدعم Arc. يجمع الملحق البيانات من جميع عقد مستوى التحكم (الرئيسية) في المجموعة ويرسلها إلى الواجهة الخلفية ل Microsoft Defender for Kubernetes في السحابة لمزيد من التحليل. تعرف على المزيد في تمكين Microsoft Defender للحاويات. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب أن تكون ذاكرة التخزين المؤقت لـ Azure الخاصة بـ Redis داخل شبكة ظاهرية | يوفر نشر Azure Virtual Network (VNet) أمانا وعزلا معززين ل Azure Cache for Redis، بالإضافة إلى الشبكات الفرعية وسياسات التحكم في الوصول والميزات الأخرى لزيادة تقييد الوصول. عندما يتم تكوين ذاكرة التخزين المؤقت Azure لمثيل Redis باستخدام VNet، فإنه لا يمكن عنونته بشكل عام ولا يمكن الوصول إليه إلا من الأجهزة الظاهرية والتطبيقات داخل VNet. (السياسة ذات الصلة: يجب أن توجد ذاكرة التخزين المؤقت Azure ل Redis داخل شبكة افتراضية) |
متوسط |
| يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار الحماية | يجب تعريف قواعد جدار الحماية على حسابات Azure Cosmos DB لمنع حركة المرور من مصادر غير مصرح بها. وتعد الحسابات التي لديها قاعدة IP واحدة على الأقل ومحددة بعامل تصفية ممكَّن للشبكة الظاهرية متوافقة. كما تُعد الحسابات التي تعطل وصول الجمهور متوافقة. (السياسة ذات الصلة: يجب أن تحتوي حسابات Azure Cosmos DB على قواعد جدار حماية) |
متوسط |
| يجب أن تستخدم مجالات شبكة الأحداث في Azure رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. ويعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى نطاقات شبكة الأحداث بدلا من الخدمة بأكملها، ستتم حمايتك أيضا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. (السياسة ذات الصلة: يجب أن تستخدم مجالات Azure Event Grid رابطا خاصا) |
متوسط |
| يجب أن تستخدم مواضيع Azure Event Grid رابطًا خاصًا | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. ويعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة لمواضيعك بدلا من الخدمة بأكملها ، ستتم حمايتك أيضا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/privateendpoints. (السياسة ذات الصلة: يجب أن تستخدم مواضيع شبكة أحداث Azure رابطا خاصا) |
متوسط |
| يجب أن يكون لدى Azure Kubernetes Service clusters ملف تعريف Defender ممكن | يوفر Microsoft Defender for Containers إمكانات أمان Kubernetes الأصلية السحابية بما في ذلك تصلب البيئة وحماية عبء العمل وحماية وقت التشغيل. عند تمكين ملف تعريف SecurityProfile.AzureDefender على مجموعة خدمة Azure Kubernetes، يتم نشر عامل إلى مجموعتك لجمع بيانات أحداث الأمان. تعرف على المزيد حول Microsoft Defender for Containers. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب أن تستخدم مساحات عمل Azure Machine Learning رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. ويعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى مساحات عمل Azure التعلم الآلي بدلا من الخدمة بأكملها، ستتم حمايتك أيضا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/azureml-workspaces-privatelink. (السياسة ذات الصلة: يجب أن تستخدم مساحات عمل Azure التعلم الآلي ارتباطا خاصا) |
متوسط |
| يجب أن تستخدم خدمة Azure SignalR رابطاً خاصاً | يتيح Azure Private Link توصيل الشبكة الظاهرية بخدمات Azure من دون عنوان IP عام في المصدر أو الوجهة. ويعالج النظام الأساسي للرابط الخاص الاتصال بين المستهلك والخدمات عبر شبكة Azure الأساسية. من خلال تعيين نقاط النهاية الخاصة إلى موارد SignalR بدلا من الخدمة بأكملها ، ستتم حمايتك أيضا من مخاطر تسرب البيانات. تعرف على المزيد من خلال: https://aka.ms/asrs/privatelink. (السياسة ذات الصلة: يجب أن تستخدم خدمة Azure SignalR رابطا خاصا) |
متوسط |
| يجب أن يستخدم Azure Spring Cloud ميزة إضافة الشبكة | يجب أن تستخدم مثيلات Azure Spring Cloud إضافة الشبكة الظاهرية للأغراض التالية: 1. عزل Azure Spring Cloud من الإنترنت. 2. قم بتمكين Azure Spring Cloud للتفاعل مع الأنظمة سواء في مراكز البيانات المحلية أو خدمة Azure في الشبكات الظاهرية الأخرى. 3. تمكين العملاء من التحكم في اتصالات الشبكة الواردة والصادرة لـ Azure Spring Cloud. (السياسة ذات الصلة: يجب أن يستخدم Azure Spring Cloud حقن الشبكة) |
متوسط |
| يجب أن تمكن حسابات الخدمات المعرفية تشفير البيانات | تقوم هذه السياسة بمراجعة أي حساب للخدمات المعرفية لا يستخدم تشفير البيانات. لكل حساب خدمات معرفية مع مساحة تخزين، يجب تمكين تشفير البيانات باستخدام المفتاح المدار من قبل العميل أو المفتاح المدار من Microsoft. (سياسة ذات صلة: يجب أن تمكن حسابات الخدمات المعرفية تشفير البيانات) |
منخفض |
| يجب أن تقوم حسابات الخدمات المعرفية بتقييد الوصول إلى الشبكة العامة | يجب تقييد الوصول إلى الشبكة إلى حسابات الخدمات المعرفية. قم بتكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب الخدمات المعرفية. للسماح بالاتصال من عملاء محددين من الإنترنت أو عملاء محليين، يمكن منح الوصول إلى حركة المرور من شبكات Azure الظاهرية المحددة أو نطاقات عناوين IP العامة للإنترنت. (سياسة ذات صلة: يجب أن تقيد حسابات الخدمات المعرفية الوصول إلى الشبكة) |
متوسط |
| يجب أن تستخدم حسابات الخدمات المعرفية التخزين المملوكة للعملاء أو تمكين تشفير البيانات | تقوم هذه السياسة بمراجعة أي حساب للخدمات المعرفية لا يستخدم التخزين المملوك للعميل ولا تشفير البيانات. لكل حساب من حسابات الخدمات المعرفية مع مساحة تخزين، استخدم إما مساحة التخزين المملوكة للعميل أو قم بتمكين تشفير البيانات. (السياسة ذات الصلة: يجب أن تستخدم حسابات الخدمات المعرفية التخزين المملوكة للعملاء أو تمكين تشفير البيانات.) |
منخفض |
| يجب تمكين السجلات التشخيصية في Azure Data Lake Store | تمكين السجلات والاحتفاظ بها لمدة تصل إلى سنة. يتيح لك ذلك إعادة إنشاء مسارات النشاط لأغراض التحقيق عند وقوع حادث أمني أو اختراق شبكتك. (السياسة ذات الصلة: يجب تمكين السجلات التشخيصية في Azure Data Lake Store) |
منخفض |
| يجب تمكين السجلات التشخيصية في Data Lake Analytics | تمكين السجلات والاحتفاظ بها لمدة تصل إلى سنة. يتيح لك ذلك إعادة إنشاء مسارات النشاط لأغراض التحقيق عند وقوع حادث أمني أو اختراق شبكتك. (السياسة ذات الصلة: يجب تمكين السجلات التشخيصية في Data Lake Analytics) |
منخفض |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إعلام الأشخاص المعنيين في مؤسستك عند حدوث خرق أمني محتمل في أحد اشتراكاتك، قم بتمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة في Defender for Cloud. (السياسة ذات الصلة: يجب تمكين إشعار البريد الإلكتروني للتنبيهات عالية الخطورة) |
منخفض |
| يجب تمكين إشعارات البريد الإلكتروني للتنبيهات عالية الخطورة | لضمان إخطار مالكي اشتراكاتك عند حدوث خرق أمني محتمل في اشتراكهم، قم بتعيين إشعارات البريد الإلكتروني لمالكي الاشتراكات للحصول على تنبيهات عالية الخطورة في Defender for Cloud. (السياسة ذات الصلة: يجب تمكين إشعار البريد الإلكتروني إلى مالك الاشتراك للحصول على تنبيهات عالية الخطورة) |
متوسط |
| فرض اتصال SSL يجب تمكين ملقمات قاعدة بيانات MySQL | تدعم Azure Database لبرنامج MySQL توصيل Azure Database الخاصة بك لخادم MySQL بتطبيقات العميل باستخدام طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL بين خادم قاعدة البيانات وتطبيقات العميل على الحماية من "هجمات الدخيل" عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين أن بروتوكول SSL يتم تمكينه دائماً للوصول إلى خادم قاعدة البيانات. (السياسة ذات الصلة: يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات MySQL) |
متوسط |
| يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL | تدعم قاعدة بيانات Azure لبرنامج PostgreSQL توصيل قاعدة بيانات Azure لخادم PostgreSQL بتطبيقات العميل باستخدام بروتوكول طبقة مآخذ توصيل آمنة (SSL). يساعد فرض اتصالات SSL بين خادم قاعدة البيانات وتطبيقات العميل على الحماية من "هجمات الدخيل" عن طريق تشفير تدفق البيانات بين الخادم والتطبيق. يفرض هذا التكوين أن بروتوكول SSL يتم تمكينه دائماً للوصول إلى خادم قاعدة البيانات. (السياسة ذات الصلة: يجب تمكين فرض اتصال SSL لخوادم قاعدة بيانات PostgreSQL) |
متوسط |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure Database for MariaDB | تسمح لك قاعدة بيانات Azure Database لـ MariaDB باختيار خيار التكرار لخادم قاعدة البيانات. يمكن تعيينه على وحدة تخزين احتياطية جغرافية زائدة عن الحاجة حيث لا يتم تخزين البيانات داخل المنطقة التي يتم فيها استضافة الخادم الخاص بك فحسب ، بل يتم نسخها أيضا إلى منطقة مقترنة لتوفير خيارات الاسترداد في حالة فشل المنطقة. لا يسمح بتكوين التخزين المتكرر جغرافيا للنسخ الاحتياطي إلا عند إنشاء خادم. (السياسة ذات الصلة: يجب تمكين النسخ الاحتياطي الجغرافي الزائد لقاعدة بيانات Azure ل MariaDB) |
منخفض |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لـ MySQL | تسمح لك قاعدة بيانات Azure لـ MySQL بتحديد خيار التكرار لخادم قاعدة البيانات. يمكن تعيينه على وحدة تخزين احتياطية جغرافية زائدة عن الحاجة حيث لا يتم تخزين البيانات داخل المنطقة التي يتم فيها استضافة الخادم الخاص بك فحسب ، بل يتم نسخها أيضا إلى منطقة مقترنة لتوفير خيارات الاسترداد في حالة فشل المنطقة. لا يسمح بتكوين التخزين المتكرر جغرافيا للنسخ الاحتياطي إلا عند إنشاء خادم. (السياسة ذات الصلة: يجب تمكين النسخ الاحتياطي الجغرافي الزائد لقاعدة بيانات Azure ل MySQL) |
منخفض |
| يجب تمكين النسخ الاحتياطي الجغرافي المتكرر لقاعدة بيانات Azure لـ PostgreSQL | تسمح لك قاعدة بيانات Azure لـ PostgreSQL بتحديد خيار التكرار لخادم قاعدة البيانات. يمكن تعيينه على وحدة تخزين احتياطية جغرافية زائدة عن الحاجة حيث لا يتم تخزين البيانات داخل المنطقة التي يتم فيها استضافة الخادم الخاص بك فحسب ، بل يتم نسخها أيضا إلى منطقة مقترنة لتوفير خيارات الاسترداد في حالة فشل المنطقة. لا يسمح بتكوين التخزين المتكرر جغرافيا للنسخ الاحتياطي إلا عند إنشاء خادم. (السياسة ذات الصلة: يجب تمكين النسخ الاحتياطي الجغرافي الزائد لقاعدة بيانات Azure ل PostgreSQL) |
منخفض |
| يجب أن تقوم مجموعات Kubernetes بتعطيل بيانات اعتماد API للتحميل التلقائي | يجب تعطيل تحميل بيانات اعتماد واجهة برمجة التطبيقات تلقائياً لمنع مورد Pod الذي يُحتمل تعرضه للخطر لتشغيل أوامر واجهة برمجة التطبيقات ضد مجموعات Kubernetes. لمزيد من المعلومات، راجع https://aka.ms/kubepolicydoc. (السياسة ذات الصلة: يجب على مجموعات Kubernetes تعطيل بيانات اعتماد واجهة برمجة التطبيقات للتحميل التلقائي) |
درجة عالية |
| يجب ألا تمنح مجموعات Kubernetes قدرات أمان CAPSYSADMIN | لتقليل السطح المعرض للهجوم في الحاويات الخاصة بك، قم بتقييد قدرات CAP_SYS_ADMIN Linux. لمزيد من المعلومات، راجع https://aka.ms/kubepolicydoc. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية | يجب منع استخدام مساحة الاسم الافتراضية في مجموعات Kubernetes للحماية من الوصول غير المصرح به لأنواع موارد ConfigMap وPod وSecret وService وServiceAccount. لمزيد من المعلومات، راجع https://aka.ms/kubepolicydoc. (السياسة ذات الصلة: يجب ألا تستخدم مجموعات Kubernetes مساحة الاسم الافتراضية) |
منخفض |
| يجب تمكين Microsoft Defender لخوادم قاعدة بيانات Azure SQL | Microsoft Defender for SQL هي حزمة موحدة توفر إمكانات أمان متقدمة SQL. ويشمل وظائف لظهور نقاط الضعف المحتملة في قاعدة البيانات والتخفيف من حدتها، والكشف عن الأنشطة الشاذة التي يمكن أن تشير إلى تهديد لقاعدة البيانات الخاصة بك، واكتشاف البيانات الحساسة وتصنيفها. ملاحظة مهمة: يتم تحصيل رسوم الحماية من هذه الخطة كما هو موضح في صفحة خطط Defender . إذا لم يكن لديك أي خوادم Azure SQL Database في هذا الاشتراك، فلن يتم تحصيل رسوم منك. إذا قمت لاحقا بإنشاء خوادم قاعدة بيانات Azure SQL على هذا الاشتراك، حمايتها تلقائيا وستبدأ الرسوم. تعرف على تفاصيل التسعير لكل منطقة. تعرف على المزيد في مقدمة حول Microsoft Defender للحصول على SQL. (السياسة ذات الصلة: يجب تمكين Azure Defender for Azure SQL خوادم قاعدة البيانات) |
درجة عالية |
| يجب تمكين Microsoft Defender لنظام أسماء النطاقات | يوفر Microsoft Defender for DNS طبقة إضافية من الحماية لموارد السحابة الخاصة بك من خلال المراقبة المستمرة لجميع استعلامات DNS من موارد Azure الخاصة بك. ينبهك Defender for DNS حول النشاط المشبوه في طبقة DNS. تعرف على المزيد في مقدمة حول Microsoft Defender لنظام أسماء النطاقات. يؤدي تمكين خطة ديفندر هذه إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة على صفحة تسعير Defender for Cloud: https://azure.microsoft.com/services/defender-for-cloud/#pricing. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب تمكين Microsoft Defender لقواعد البيانات العلائقية مفتوحة المصدر | يكتشف Microsoft Defender لقواعد البيانات العلائقية مفتوحة المصدر الأنشطة الشاذة التي تشير إلى محاولات غير عادية وربما ضارة للوصول إلى قواعد البيانات أو استغلالها. تعرف على المزيد في مقدمة إلى Microsoft Defender لقواعد البيانات العلائقية مفتوحة المصدر. مهم: سيؤدي تمكين هذه الخطة إلى فرض رسوم على حماية قواعد البيانات العلائقية مفتوحة المصدر. إذا لم يكن لديك أي قواعد بيانات علائقية مفتوحة المصدر في هذا الاشتراك، فلن يتم تكبد أي رسوم. إذا قمت بإنشاء أي قواعد بيانات علائقية مفتوحة المصدر على هذا الاشتراك في المستقبل، حمايتها تلقائيا وستبدأ الرسوم في ذلك الوقت. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب تمكين Microsoft Defender Resource Manager | يراقب Microsoft Defender for Resource Manager عمليات إدارة الموارد في مؤسستك تلقائياً. يكتشف Defender for Cloud التهديدات وينبهك إلى النشاط المشبوه. تعرف على المزيد في مقدمة حول Microsoft Defender للحصول على Resource Manager. يؤدي تمكين خطة ديفندر هذه إلى فرض رسوم. تعرف على تفاصيل التسعير لكل منطقة على صفحة تسعير Defender for Cloud: https://azure.microsoft.com/services/defender-for-cloud/#pricing. (لا توجد سياسة ذات صلة) |
درجة عالية |
| يجب تمكين Microsoft Defender SQL على الأجهزة على مساحات العمل | يوفر Microsoft Defender للخوادم اكتشاف التهديدات والدفاعات المتقدمة لأجهزة Windows وLinux الخاصة بك. مع تمكين خطة Defender هذه على اشتراكاتك ولكن ليس على مساحات العمل الخاصة بك ، فأنت تدفع مقابل القدرة الكاملة ل Microsoft Defender للخوادم ولكنك تفوت بعض الفوائد. عند تمكين Microsoft Defender للخوادم الموجودة على مساحة عمل، ستتم فوترة جميع الأجهزة التي تقدم تقارير إلى مساحة العمل هذه مقابل Microsoft Defender للخوادم - حتى إذا كانت في اشتراكات دون تمكين خطط Defender. ما لم تقم أيضا بتمكين Microsoft Defender للخوادم الموجودة في الاشتراك، فلن تتمكن هذه الأجهزة من الاستفادة من الوصول إلى الأجهزة الظاهرية في الوقت المناسب وعناصر التحكم في التطبيقات التكيفية واكتشافات الشبكة لموارد Azure. تعرف على المزيد في مقدمة Azure Defender للخوادم. (لا توجد سياسة ذات صلة) |
متوسط |
| يجب تمكين Microsoft Defender لخوادم SQL الموجودة على الأجهزة | Microsoft Defender for SQL هي حزمة موحدة توفر إمكانات أمان متقدمة SQL. ويشمل وظائف لظهور نقاط الضعف المحتملة في قاعدة البيانات والتخفيف من حدتها، والكشف عن الأنشطة الشاذة التي يمكن أن تشير إلى تهديد لقاعدة البيانات الخاصة بك، واكتشاف البيانات الحساسة وتصنيفها. ملاحظة مهمة: سيؤدي معالجة هذه التوصية إلى فرض رسوم على حماية خوادم SQL على الأجهزة. إذا لم يكن لديك أي خوادم SQL على الأجهزة في هذا الاشتراك، فلن يتم تكبد أي رسوم. إذا قمت بإنشاء أي خوادم SQL على الأجهزة الموجودة على هذا الاشتراك في المستقبل، حمايتها تلقائيا وستبدأ الرسوم في ذلك الوقت. تعرف على المزيد حول Microsoft Defender للخوادم SQL على الأجهزة. (السياسة ذات الصلة: يجب تمكين Azure Defender للخوادم SQL على الأجهزة) |
درجة عالية |
| يجب تمكين Microsoft Defender for SQL لخوادم Azure SQL غير المحمية | Microsoft Defender for SQL هي حزمة موحدة توفر إمكانات أمان متقدمة SQL. فهو يظهر ويخفف من الثغرات الأمنية المحتملة في قاعدة البيانات، ويكتشف الأنشطة الشاذة التي قد تشير إلى تهديد لقاعدة البيانات الخاصة بك. تتم فوترة Microsoft Defender for SQL كما هو موضح في تفاصيل التسعير لكل منطقة. (السياسة ذات الصلة: يجب تمكين أمان البيانات المتقدم على خوادم SQL) |
درجة عالية |
| يجب تمكين Microsoft Defender for SQL للمثيلات المدارة SQL غير المحمية | Microsoft Defender for SQL هي حزمة موحدة توفر إمكانات أمان متقدمة SQL. فهو يظهر ويخفف من الثغرات الأمنية المحتملة في قاعدة البيانات، ويكتشف الأنشطة الشاذة التي قد تشير إلى تهديد لقاعدة البيانات الخاصة بك. تتم فوترة Microsoft Defender for SQL كما هو موضح في تفاصيل التسعير لكل منطقة. (السياسة ذات الصلة: يجب تمكين أمان البيانات المتقدم على SQL المثيل المدار) |
درجة عالية |
| يجب تمكين Microsoft Defender للتخزين | يكتشف Microsoft Defender للتخزين محاولات غير عادية وربما ضارة للوصول إلى حسابات التخزين أو استغلالها. ملاحظة مهمة: يتم تحصيل رسوم الحماية من هذه الخطة كما هو موضح في صفحة خطط Defender . إذا لم يكن لديك أي حسابات Azure Storage في هذا الاشتراك، فلن يتم تحصيل رسوم منك. إذا قمت لاحقا بإنشاء حسابات Azure Storage على هذا الاشتراك، حمايتها تلقائيا وستبدأ الرسوم. تعرف على تفاصيل التسعير لكل منطقة. اكتشف المزيد في مقدمة عن Azure Defender for Storage. (السياسة ذات الصلة: يجب تمكين Azure Defender for Storage) |
درجة عالية |
| يجب تمكين مراقب الشبكة | تُعرف خدمة مراقب الشبكة على أنها خدمة إقليمية تمكنك من مراقبة وتشخيص الحالات على مستوى سيناريو الشبكة في Azure ومنه وإليه. تتيح لك مراقبة مستوى السيناريو تشخيص المشكلات في عرض مستوى الشبكة من طرف إلى طرف. تساعدك أدوات تشخيص الشبكة والتصورات المتاحة مع Network Watcher على فهم وتشخيص ومعرفة تفاصيل عن شبكتك في Azure. (السياسة ذات الصلة: يجب تمكين مراقب الشبكة) |
منخفض |
| يجب تمكين اتصالات نقطة النهاية الخاصة على Azure SQL Database | تفرض اتصالات نقطة النهاية الخاصة الاتصال الآمن عن طريق تمكين الاتصال الخاص بقاعدة بيانات Azure SQL. (السياسة ذات الصلة: يجب تمكين اتصالات نقطة النهاية الخاصة على قاعدة بيانات Azure SQL) |
متوسط |
| يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB | تفرض اتصالات نقطة النهاية الخاصة اتصالاً آمنًا عن طريق تمكين الاتصال الخاص مع Azure Database لـ MariaDB. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. (السياسة ذات الصلة: يجب تمكين نقطة النهاية الخاصة لخوادم MariaDB) |
متوسط |
| يجب تمكين نقطة النهاية الخاصة لخوادم MySQL | تفرض اتصالات نقطة النهاية الخاصة اتصالاً آمنًا من خلال تمكين الاتصال الخاص مع Azure Database لـ MySQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. (السياسة ذات الصلة: يجب تمكين نقطة النهاية الخاصة لخوادم MySQL) |
متوسط |
| يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL | تفرض اتصالات نقطة النهاية الخاصة اتصالاً آمنًا من خلال تمكين الاتصال الخاص مع Azure Database لـ PostgreSQL. قم بتكوين اتصال نقطة نهاية خاصة لتمكين الوصول إلى حركة المرور القادمة من شبكات معروفة فقط ومنع الوصول من جميع عناوين IP الأخرى، بما في ذلك داخل Azure. (السياسة ذات الصلة: يجب تمكين نقطة النهاية الخاصة لخوادم PostgreSQL) |
متوسط |
| يجب تعطيل الوصول إلى شبكة الاتصال العامة على Azure SQL Database | يؤدي تعطيل خاصية الوصول إلى الشبكة العامة إلى تحسين الأمان من خلال ضمان إمكانية الوصول إلى قاعدة بيانات Azure SQL فقط من نقطة نهاية خاصة. ويرفض هذا التكوين كل تسجيلات الدخول التي تطابق عنوان IP أو قواعد جدار الحماية المستندة إلى شبكة الاتصال الظاهرية. (السياسة ذات الصلة: يجب تعطيل الوصول إلى الشبكة العامة على قاعدة بيانات Azure SQL) |
متوسط |
| يجب تعطيل الوصول إلى الشبكة العامة لحسابات الخدمات المعرفية | يقوم هذا النهج بتدقيق أي حساب للخدمات المعرفية في بيئتك مع تمكين الوصول إلى الشبكة العامة. يجب تعطيل الوصول إلى الشبكة العامة بحيث لا يسمح إلا بالاتصالات من نقاط النهاية الخاصة. (السياسة ذات الصلة: يجب تعطيل الوصول إلى الشبكة العامة لحسابات الخدمات المعرفية) |
متوسط |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB | قم بتعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان إمكانية الوصول إلى Azure Database لـ MariaDB فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. (السياسة ذات الصلة: يجب تعطيل الوصول إلى الشبكة العامة لخوادم MariaDB) |
متوسط |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL | قم بتعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان إمكانية الوصول إلى Azure Database لـ MySQL فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول بشكل صارم من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. (السياسة ذات الصلة: يجب تعطيل الوصول إلى الشبكة العامة لخوادم MySQL) |
متوسط |
| يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL | قم بتعطيل خاصية الوصول إلى الشبكة العامة لتحسين الأمان وضمان إمكانية الوصول إلى Azure Database لـ PostgreSQL فقط من نقطة نهاية خاصة. يعطل هذا التكوين الوصول من أي مساحة عنوان عام خارج نطاق IP لـ Azure، ويمنع جميع عمليات تسجيل الدخول التي تطابق IP أو قواعد جدار الحماية المستندة إلى الشبكة الظاهرية. (السياسة ذات الصلة: يجب تعطيل الوصول إلى الشبكة العامة لخوادم PostgreSQL) |
متوسط |
| يجب أن تسمح ذاكرة التخزين المؤقت Redis بالوصول فقط عبر SSL | قم بتمكين الاتصالات فقط عبر SSL إلى Redis Cache. يضمن استخدام الاتصالات الآمنة المصادقة بين الخادم والخدمة ويحمي البيانات أثناء نقلها من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة. (السياسة ذات الصلة: يجب تمكين الاتصالات الآمنة فقط بذاكرة التخزين المؤقت ل Azure ل Redis) |
درجة عالية |
| يجب أن تمتلك قواعد بيانات SQL نتائج لحل مشكلة الثغرات الأمنية | يقوم SQL Vulnerability Assessment بفحص قاعدة البيانات الخاصة بك بحثا عن الثغرات الأمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات المفرطة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات. معرفة المزيد (السياسة ذات الصلة: يجب معالجة نقاط الضعف في قواعد بيانات SQL الخاصة بك) |
درجة عالية |
| يجب أن يكون SQL المثيلات المدارة تقييم الثغرات الأمنية الذي تم تكوينه | يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. (السياسة ذات الصلة: يجب تمكين تقييم الثغرات الأمنية على SQL المثيل المدار) |
درجة عالية |
| يجب أن يكون لدى قواعد البيانات SQL نتائج لحل مشكلة الثغرات الأمنية | يقوم SQL Vulnerability Assessment بفحص قاعدة البيانات الخاصة بك بحثا عن الثغرات الأمنية، ويعرض أي انحرافات عن أفضل الممارسات مثل التكوينات الخاطئة والأذونات المفرطة والبيانات الحساسة غير المحمية. يمكن أن يؤدي حل الثغرات الأمنية التي عثر عليها إلى تحسين كبير في حالة أمان قاعدة البيانات. معرفة المزيد (السياسة ذات الصلة: يجب معالجة الثغرات الأمنية على خوادم SQL على الجهاز) |
درجة عالية |
| يجب أن تحتوي SQL الخوادم على مسؤول Azure Active Directory موفر | قم بتوفير مسؤول Azure AD لخادم SQL لتمكين مصادقة Azure AD. تتيح مصادقة Azure AD إدارة الأذونات المبسطة وإدارة الهوية المركزية لمستخدمي قواعد البيانات خدمات Microsoft الأخرى. (نهج ذات صلة: يجب توفير مسؤول Azure Active Directory لخوادم SQL) |
درجة عالية |
| يجب أن يكون لدى خوادم SQL تقييم للثغرات الأمنية تم تكوينه | يمكن لتقييم الثغرات الأمنية اكتشاف الثغرات وتتبعها والمساعدة في إصلاح الثغرات الأمنية المحتملة في قاعدة البيانات. (السياسة ذات الصلة: يجب تمكين تقييم الثغرات الأمنية على خوادم SQL) |
درجة عالية |
| يجب أن يستخدم حساب التخزين اتصال ارتباط خاص | تفرض الروابط الخاصة الاتصال الآمن ، من خلال توفير اتصال خاص بحساب التخزين (السياسة ذات الصلة: يجب أن يستخدم حساب التخزين اتصال ارتباط خاص) |
متوسط |
| يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة | للاستفادة من الإمكانات الجديدة في Azure Resource Manager، يمكنك ترحيل عمليات النشر الحالية من نموذج النشر الكلاسيكي. Resource Manager يتيح تحسينات الأمان مثل: التحكم في الوصول بشكل أقوى (RBAC)، والتدقيق الأفضل، والنشر والحوكمة المستندة إلى ARM، والوصول إلى الهويات المدارة، والوصول إلى المخزن الرئيسي للأسرار، والمصادقة المستندة إلى Azure AD، ودعم العلامات ومجموعات الموارد لتسهيل إدارة الأمان. معرفة المزيد (السياسة ذات الصلة: يجب ترحيل حسابات التخزين إلى موارد Azure Resource Manager الجديدة) |
منخفض |
| يجب أن تُقيّد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الظاهرية | احمِ حسابات التخزين من التهديدات المحتملة باستخدام قواعد الشبكة الظاهرية كطريقة مفضلة بدلاً من التصفية المستندة إلى عنوان IP. يؤدي تعطيل التصفية المستندة إلى IP إلى منع عناوين IP العامة من الوصول إلى حسابات التخزين الخاصة بك. (السياسة ذات الصلة: يجب أن تقيد حسابات التخزين الوصول إلى الشبكة باستخدام قواعد الشبكة الافتراضية) |
متوسط |
| يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة الاتصال لمشكلات الأمان | لضمان إخطار الأشخاص المعنيين في مؤسستك عند حدوث خرق أمني محتمل في أحد اشتراكاتك، قم بتعيين جهة اتصال أمان لتلقي إشعارات البريد الإلكتروني من Defender for Cloud. (السياسة ذات الصلة: يجب أن تحتوي الاشتراكات على عنوان بريد إلكتروني لجهة اتصال لمشكلات الأمان) |
منخفض |
| يجب تمكين تشفير البيانات الشفاف في قواعد بيانات SQL | تمكين تشفير البيانات الشفاف لحماية البيانات في حالة عدم الراحة وتلبية متطلبات الامتثال (السياسة ذات الصلة: يجب تمكين تشفير البيانات الشفاف على قواعد بيانات SQL) |
منخفض |
| يجب أن تستخدم قوالب منشئ صور الأجهزة الظاهرية رابطاً خاصاً | تدقيق قوالب منشئ صور VM التي لا تحتوي على شبكة ظاهرية تم تكوينها. عندما لا يتم تكوين شبكة افتراضية ، يتم إنشاء عنوان IP عام واستخدامه بدلا من ذلك ، مما قد يعرض الموارد مباشرة للإنترنت ويزيد من سطح الهجوم المحتمل. (السياسة ذات الصلة: يجب أن تستخدم قوالب VM Image Builder رابطا خاصا) |
متوسط |
| يجب تمكين جدار حماية تطبيق ويب (WAF) لبوابة Application Gateway | انشر تطبيق جدار الحماية لتطبيق الويب للعامة التي تواجه تطبيقات الويب لمزيد من المعاينة على الحركة الواردة. يوفر جدار حماية تطبيق الويب حماية مركزية لتطبيقات الويب الخاصة بك من الاختراقات والثغرات الأمنية الشائعة مثل إضافة SQL والبرمجة عبر الموقع وعمليات تضمين الملفات المحلية والبعيدة. يمكنك أيضاً تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين بروتوكول الإنترنت ومعلمات http(s) الأخرى عبر القواعد المخصصة. (السياسة ذات الصلة: يجب تمكين جدار حماية تطبيق الويب (WAF) لبوابة التطبيق) |
منخفض |
| يجب تمكين تطبيق جدار حماية تطبيقات الويب لبوابة التطبيق | انشر تطبيق جدار الحماية لتطبيق الويب للعامة التي تواجه تطبيقات الويب لمزيد من المعاينة على الحركة الواردة. يوفر جدار حماية تطبيق الويب حماية مركزية لتطبيقات الويب الخاصة بك من الاختراقات والثغرات الأمنية الشائعة مثل إضافة SQL والبرمجة عبر الموقع وعمليات تضمين الملفات المحلية والبعيدة. يمكنك أيضاً تقييد الوصول إلى تطبيقات الويب الخاصة بك حسب البلدان ونطاقات عناوين بروتوكول الإنترنت ومعلمات http(s) الأخرى عبر القواعد المخصصة. (السياسة ذات الصلة: هل يجب تمكين جدار حماية تطبيق الويب (WAF) لخدمة Azure Front Door Service؟) |
منخفض |
توصيات الهوية والوصول
وهناك 28 توصية في هذه الفئة.
| التوصية | الوصف | الخطورة |
|---|---|---|
| يجب تعيين 3 مالكين كحد أقصى للاشتراكات | للحد من احتمال حدوث خروقات من قبل حسابات المالكين المخترقة، نوصي بالحد من عدد حسابات المالك إلى 3 حسابات كحد أقصى. (السياسة ذات الصلة: يجب تعيين 3 مالكين كحد أقصى لاشتراكك) |
درجة عالية |
| يجب إزالة الحسابات المهملة من الاشتراكات | يجب إزالة حسابات المستخدمين التي تم حظرها من تسجيل الدخول من الاشتراكات. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (السياسة ذات الصلة: يجب إزالة الحسابات المهملة من اشتراكك) |
درجة عالية |
| يجب إزالة الحسابات المهملة من اشتراكك | يجب إزالة حسابات المستخدمين التي تم حظرها من تسجيل الدخول من الاشتراكات. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (السياسة ذات الصلة: يجب إزالة الحسابات المهملة من اشتراكك) |
درجة عالية |
| يجب إزالة الحسابات المهملة التي تتمتع بأذونات المالك من الاشتراكات | يجب إزالة حسابات المستخدمين التي تم حظرها من تسجيل الدخول من الاشتراكات. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (السياسة ذات الصلة: يجب إزالة الحسابات المهملة التي تتمتع بأذونات المالك من اشتراكك) |
درجة عالية |
| يجب إزالة الحسابات المهملة التي لها أذونات مالك من اشتراكك | يجب إزالة حسابات المستخدمين التي تم حظرها من تسجيل الدخول من الاشتراكات. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (السياسة ذات الصلة: يجب إزالة الحسابات المهملة التي تتمتع بأذونات المالك من اشتراكك) |
درجة عالية |
| يجب تمكين السجلات التشخيصية في Key Vault | تمكين السجلات والاحتفاظ بها لمدة تصل إلى سنة. يتيح لك ذلك إعادة إنشاء مسارات النشاط لأغراض التحقيق عند وقوع حادث أمني أو اختراق شبكتك. (السياسة ذات الصلة: يجب تمكين السجلات التشخيصية في Key Vault) |
منخفض |
| يجب إزالة الحسابات الخارجية التي تتمتع بأذونات المالك من الاشتراكات | يجب إزالة الحسابات التي تتمتع بأذونات المالك والتي لها أسماء نطاقات مختلفة (حسابات خارجية) من اشتراكك. هذا يمنع الوصول غير المراقب. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (السياسة ذات الصلة: يجب إزالة الحسابات الخارجية التي تتمتع بأذونات المالك من اشتراكك) |
درجة عالية |
| يجب إزالة الحسابات الخارجية التي لها أذونات المالك من اشتراكك | يجب إزالة الحسابات التي تتمتع بأذونات المالك والتي لها أسماء نطاقات مختلفة (حسابات خارجية) من اشتراكك. هذا يمنع الوصول غير المراقب. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (السياسة ذات الصلة: يجب إزالة الحسابات الخارجية التي تتمتع بأذونات المالك من اشتراكك) |
درجة عالية |
| يجب إزالة الحسابات الخارجية التي لديها أذونات قراءة من الاشتراكات | يجب إزالة الحسابات التي لديها أذونات قراءة لها أسماء نطاقات مختلفة (حسابات خارجية) من اشتراكك. هذا يمنع الوصول غير المراقب. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (السياسة ذات الصلة: يجب إزالة الحسابات الخارجية التي لديها أذونات قراءة من اشتراكك) |
درجة عالية |
| يجب إزالة الحسابات الخارجية التي لها أذونات القراءة من اشتراكك | يجب إزالة الحسابات التي لديها أذونات قراءة لها أسماء نطاقات مختلفة (حسابات خارجية) من اشتراكك. هذا يمنع الوصول غير المراقب. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (السياسة ذات الصلة: يجب إزالة الحسابات الخارجية التي لديها أذونات قراءة من اشتراكك) |
درجة عالية |
| يجب إزالة الحسابات الخارجية ذات أذونات الكتابة من الاشتراكات | يجب إزالة الحسابات التي لديها أذونات كتابة لها أسماء نطاقات مختلفة (حسابات خارجية) من اشتراكك. هذا يمنع الوصول غير المراقب. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (السياسة ذات الصلة: يجب إزالة الحسابات الخارجية التي لديها أذونات كتابة من اشتراكك) |
درجة عالية |
| يجب إزالة الحسابات الخارجية التي لها أذونات الكتابة من اشتراكك | يجب إزالة الحسابات التي لديها أذونات كتابة لها أسماء نطاقات مختلفة (حسابات خارجية) من اشتراكك. هذا يمنع الوصول غير المراقب. يمكن أن تكون هذه الحسابات أهدافاً للمهاجمين الذين يبحثون عن طرق للوصول إلى بياناتك دون أن يلاحظهم أحد. (السياسة ذات الصلة: يجب إزالة الحسابات الخارجية التي لديها أذونات كتابة من اشتراكك) |
درجة عالية |
| يجب تمكين جدار الحماية على Key Vault | يمنع جدار حماية Key vault حركة المرور غير المصرح بها من الوصول إلى قبو المفاتيح الخاص بك ويوفر طبقة إضافية من الحماية لأسرارك. قم بتمكين جدار الحماية للتأكد من أن حركة المرور من الشبكات المسموح بها فقط هي التي يمكنها الوصول إلى مخزن المفاتيح الخاص بك. (السياسة ذات الصلة: يجب تمكين جدار الحماية على Key Vault) |
متوسط |
| يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية | يجب أن يكون لمفاتيح التشفير تاريخ انتهاء صلاحية محدد وألا تكون دائمة. تمنح المفاتيح الصالحة إلى الأبد المهاجم المحتمل المزيد من الوقت لاختراق المفتاح. ومن ممارسات السلامة الموصى بها أن يتم تعيين تواريخ انتهاء الصلاحية على مفاتيح التشفير. (السياسة ذات الصلة: يجب أن يكون لمفاتيح Key Vault تاريخ انتهاء صلاحية) |
درجة عالية |
| يجب أن يكون للأسرار في Key Vault تاريخ انتهاء صلاحية | يجب أن يكون للأسرار تاريخ انتهاء صلاحية محدد وألا تكون دائمة. تمنح الأسرار الصالحة إلى الأبد المهاجم المحتمل المزيد من الوقت لاختراقها. ومن ممارسات السلامة الموصى بها أن يتم تعيين تواريخ انتهاء الصلاحية على الأسرار. (السياسة ذات الصلة: يجب أن يكون لأسرار Key Vault تاريخ انتهاء صلاحية) |
درجة عالية |
| يجب تمكين الحماية من المسح في Key vaults | يمكن أن يؤدي الحذف الضار لخزنة المفاتيح إلى فقدان دائم للبيانات. يمكن لأي برنامج ضار داخلي في مؤسستك حذف خدمات Key Vault ومسحها. تعمل الحماية من المسح على حمايتك من الهجمات الداخلية من خلال فرض فترة الاستبقاء الإلزامية على خدمات Key Vault المحذوفة مبدئيًا. لن يتمكن أحد داخل مؤسستك أو Microsoft من مسح خدمات Key Vault في أثناء فترة استبقاء الحذف المبدئي. (السياسة ذات الصلة: يجب تمكين حماية تطهير الخزائن الرئيسية) |
متوسط |
| يجب تمكين الحذف المبدئي في خدمات Key Vault | يؤدي حذف key vault من دون حذف مبدئي ممكن إلى حذف جميع الأسرار والمفاتيح والشهادات المخزنة في key vault نهائياً. يمكن أن يؤدي الحذف غير المقصود لـ key vault إلى فقدان البيانات بشكل دائم. يتيح لك الحذف المبدئي استرداد key vault تم حذفها عن طريق الخطأ لفترة احتفاظ قابلة للتكوين. (السياسة ذات الصلة: يجب تمكين الحذف الناعم للخزائن الرئيسية) |
درجة عالية |
| يجب تمكين MFA على الحسابات ذات أذونات المالك على الاشتراكات | يجب تمكين المصادقة متعددة العوامل لجميع حسابات الاشتراك التي تمتلك أذونات المالك لمنع انتهاكات الحسابات أو الموارد. (السياسة ذات الصلة: يجب تمكين MFA على الحسابات التي لديها أذونات المالك على اشتراكك) |
درجة عالية |
| يجب تمكين MFA على الحسابات التي لها أذونات المالك على اشتراكك | يجب تمكين المصادقة متعددة العوامل لجميع حسابات الاشتراك التي تمتلك أذونات المالك لمنع انتهاكات الحسابات أو الموارد. (السياسة ذات الصلة: يجب تمكين MFA على الحسابات التي لديها أذونات المالك على اشتراكك) |
درجة عالية |
| يجب تمكين MFA على الحسابات التي لديها أذونات قراءة على الاشتراكات | يجب تمكين المصادقة متعددة العوامل لكل حسابات الاشتراك التي لديها امتيازات القراءة لمنع انتهاكات الحسابات أو الموارد. (السياسة ذات الصلة: يجب تمكين MFA على الحسابات التي لديها أذونات قراءة على اشتراكك) |
درجة عالية |
| يجب تمكين MFA على الحسابات التي لها أذونات القراءة على اشتراكك | يجب تمكين المصادقة متعددة العوامل لكل حسابات الاشتراك التي لديها امتيازات القراءة لمنع انتهاكات الحسابات أو الموارد. (السياسة ذات الصلة: يجب تمكين MFA على الحسابات التي لديها أذونات قراءة على اشتراكك) |
درجة عالية |
| يجب تمكين MFA على الحسابات ذات أذونات الكتابة على الاشتراكات | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. (السياسة ذات الصلة: يجب تمكين حسابات MFA ذات أذونات الكتابة على اشتراكك) |
درجة عالية |
| يجب تمكين المصادقة متعددة العوامل (MFA) على الحسابات ذات أذونات الكتابة على اشتراكك | يجب تمكين المصادقة متعددة العوامل (MFA) لكل حسابات الاشتراك التي لديها امتيازات الكتابة لمنع انتهاكات الحسابات أو الموارد. (السياسة ذات الصلة: يجب تمكين حسابات MFA ذات أذونات الكتابة على اشتراكك) |
درجة عالية |
| يجب تمكين Microsoft Defender Key Vault | يتضمن Microsoft Defender for Cloud Microsoft Defender لنظام التشغيل Key Vault، مما يوفر طبقة إضافية من الذكاء الأمني. يكتشف Microsoft Defender for Key Vault محاولات غير عادية وربما ضارة للوصول إلى حسابات Key Vault أو استغلالها. ملاحظة مهمة: يتم تحصيل رسوم الحماية من هذه الخطة كما هو موضح في صفحة خطط Defender . إذا لم يكن لديك أي خزائن رئيسية في هذا الاشتراك، فلن يتم تحصيل رسوم منك. إذا قمت لاحقا بإنشاء خزائن رئيسية على هذا الاشتراك، حمايتها تلقائيا وستبدأ الرسوم. تعرف على تفاصيل التسعير لكل منطقة. تعرف على المزيد في مقدمة حول Microsoft Defender للحصول على Key Vault. (السياسة ذات الصلة: يجب تمكين Azure Defender for Key Vault) |
درجة عالية |
| يجب تهيئة نقطة النهاية الخاصة لـ Key Vault | يوفر الرابط الخاص طريقة لتوصيل Key Vault بالموارد لديك في Azure دون إرسال حركة المرور عبر الإنترنت العام. يوفر الرابط الخاص حماية دفاعية في العمق ضد تسرب البيانات. (السياسة ذات الصلة: يجب تكوين نقطة النهاية الخاصة Key Vault) |
متوسط |
| يجب عدم السماح بالوصول العام إلى حساب التخزين | يعد الوصول العام المجهول للقراءة إلى الحاويات والنقاط في Azure Storage طريقة ملائمة لمشاركة البيانات، ولكنه قد يمثل مخاطر أمنية. ولمنع انتهاكات البيانات الناتجة عن الوصول المجهول غير المرغوب فيه، توصي Microsoft بمنع الوصول العام إلى حساب التخزين ما لم تتطلب الظروف ذلك. (السياسة ذات الصلة: يجب عدم السماح بالوصول العام إلى حساب التخزين) |
متوسط |
| يجب أن يكون هناك أكثر من مالك واحد مخصص للاشتراكات | قم بتعيين أكثر من مالك اشتراك واحد من أجل تمكين المسؤول من الوصول إلى التكرار. (السياسة ذات الصلة: يجب تعيين أكثر من مالك واحد لاشتراكك) |
درجة عالية |
| يجب ألا تتجاوز فترة صلاحية الشهادات المخزنة في Azure Key Vault 12 شهرا | تأكد من أن شهاداتك ليس لها فترة صلاحية تتجاوز 12 شهرا. (السياسة ذات الصلة: يجب أن يكون للشهادات فترة صلاحية قصوى محددة) |
متوسط |
توصيات إنترنت الأشياء
هناك 12 توصية في هذه الفئة.
| التوصية | الوصف | الخطورة |
|---|---|---|
| يجب أن يكون نهج عامل تصفية IP الافتراضي هو "رفض" | يجب أن يحتوي تكوين عامل تصفية IP على قواعد محددة لحركة المرور المسموح بها ويجب أن يرفض جميع الزيارات الأخرى بشكل افتراضي (لا توجد سياسة ذات صلة) |
متوسط |
| يجب تمكين سجلات التشخيص في IoT Hub | تمكين السجلات والاحتفاظ بها لمدة تصل إلى سنة. يتيح لك ذلك إعادة إنشاء مسارات النشاط لأغراض التحقيق عند وقوع حادث أمني أو اختراق شبكتك. (السياسة ذات الصلة: يجب تمكين سجلات التشخيص في IoT Hub) |
منخفض |
| بيانات اعتماد المصادقة المتطابقة | بيانات اعتماد مصادقة متطابقة مع IoT Hub المستخدمة من قبل أجهزة متعددة. قد يشير هذا إلى وجود جهاز غير شرعي ينتحل شخصية جهاز شرعي. كما أنه يكشف عن خطر انتحال شخصية الجهاز من قبل مهاجم (لا توجد سياسة ذات صلة) |
درجة عالية |
| أجهزة إنترنت الأشياء - وكيل يرسل رسائل غير مستغلة بشكل كاف | لا يتم حاليا استخدام سعة حجم رسالة وكيل إنترنت الأشياء بشكل كاف ، مما يتسبب في زيادة عدد الرسائل المرسلة. ضبط الفواصل الزمنية للرسائل لتحقيق استخدام أفضل (لا توجد سياسة ذات صلة) |
منخفض |
| أجهزة إنترنت الأشياء - توقفت العملية المدققة عن إرسال الأحداث | لم تعد الأحداث الأمنية الناشئة عن العملية المدققة تتلقى من هذا الجهاز (لا توجد سياسة ذات صلة) |
درجة عالية |
| أجهزة إنترنت الأشياء - فتح المنافذ على الجهاز | تم العثور على نقطة نهاية استماع على الجهاز (لا توجد سياسة ذات صلة) |
متوسط |
| أجهزة إنترنت الأشياء - فشل التحقق من صحة خط الأساس لنظام التشغيل | تحديد مشكلات تكوين النظام المتعلقة بالأمان (لا توجد سياسة ذات صلة) |
متوسط |
| أجهزة إنترنت الأشياء - تم العثور على سياسة جدار الحماية المتساهلة في إحدى السلاسل | تم العثور على سياسة جدار حماية مسموح بها في سلاسل جدار الحماية الرئيسية (INPUT/OUTPUT). يجب أن تحدد السياسة بشكل افتراضي جميع الزيارات قواعد للسماح بالاتصال الضروري من / إلى الجهاز (لا توجد سياسة ذات صلة) |
متوسط |
| أجهزة إنترنت الأشياء - تم العثور على قاعدة جدار الحماية المتساهلة في سلسلة الإدخال | تم العثور على قاعدة في جدار الحماية تحتوي على نمط متسامح لمجموعة واسعة من عناوين IP أو المنافذ (لا توجد سياسة ذات صلة) |
متوسط |
| أجهزة إنترنت الأشياء - تم العثور على قاعدة جدار الحماية المتساهلة في سلسلة الإخراج | تم العثور على قاعدة في جدار الحماية تحتوي على نمط متسامح لمجموعة واسعة من عناوين IP أو المنافذ (لا توجد سياسة ذات صلة) |
متوسط |
| أجهزة إنترنت الأشياء - يلزم ترقية مجموعة تشفير TLS | تم اكتشاف تكوينات TLS غير الآمنة. يوصى بترقية فورية لمجموعة تشفير TLS (لا توجد سياسة ذات صلة) |
متوسط |
| قاعدة مرشح IP نطاق IP كبير | نطاق IP المصدر لقاعدة السماح بعامل تصفية IP كبير جدا. القواعد المتساهلة بشكل مفرط قد تعرض مركز إنترنت الأشياء الخاص بك للقاحات الضارة (لا توجد سياسة ذات صلة) |
متوسط |
توصيات الشبكات
هناك 12 توصية في هذه الفئة.
| التوصية | الوصف | الخطورة |
|---|---|---|
| يجب تقييد الوصول إلى حسابات التخزين باستخدام جدار الحماية وتكوينات الشبكة الافتراضية | راجع إعدادات الوصول إلى الشبكة في إعدادات جدار حماية حساب التخزين. نوصي بتكوين قواعد الشبكة بحيث يمكن فقط للتطبيقات من الشبكات المسموح بها الوصول إلى حساب التخزين. للسماح بالاتصالات من إنترنت معين أو عملاء محليين، يمكن منح الوصول إلى حركة المرور من شبكات Azure الظاهرية المحددة أو إلى نطاقات عناوين IP العامة للإنترنت. (السياسة ذات الصلة: يجب أن تقيد حسابات التخزين الوصول إلى الشبكة) |
منخفض |
| يجب تطبيق توصيات تقوية الشبكة التكيفية على الإنترنت بمواجهة الأجهزة الافتراضية | قامت Defender for Cloud بتحليل أنماط اتصالات حركة المرور عبر الإنترنت للأجهزة الافتراضية المدرجة أدناه ، وقررت أن القواعد الحالية في NSGs المرتبطة بها متساهلة بشكل مفرط ، مما يؤدي إلى زيادة سطح الهجوم المحتمل. يحدث هذا عادة عندما لا يتصل عنوان IP هذا بانتظام بهذا المورد. بدلا من ذلك ، تم وضع علامة على عنوان IP على أنه ضار من قبل Defender لمصادر استخبارات التهديدات في Cloud. تعرف على المزيد في تحسين وضع أمان الشبكة من خلال تقوية الشبكة التكيفية. (السياسة ذات الصلة: ينبغي تطبيق توصيات تقوية الشبكة التكيفية على الأجهزة الافتراضية التي تواجه الإنترنت) |
درجة عالية |
| يجب تقييد كل منافذ الشبكة على مجموعات أمان الشبكة المقترنة بالجهاز الظاهري | حددت Defender for Cloud بعض القواعد الواردة لمجموعات أمان الشبكة الخاصة بك لتكون متساهلة للغاية. لا تسمح القواعد الواردة بالوصول من أي نطاقات للإنترنت. فقد يُساعد ذلك المهاجمين على استهداف الموارد. (السياسة ذات الصلة: يجب تقييد جميع منافذ الشبكة على مجموعات أمان الشبكة المرتبطة بجهازك الظاهري) |
درجة عالية |
| يجب تمكين معيار حماية Azure DDOS | اكتشف Defender for Cloud شبكات افتراضية مع موارد بوابة التطبيقات غير المحمية بواسطة خدمة حماية DDoS. تحتوي هذه الموارد على عناوين IP عامة. تمكين التخفيف من هجمات الشبكة الحجمية وهجمات البروتوكول. (السياسة ذات الصلة: يجب تمكين معيار حماية Azure DDoS) |
متوسط |
| يجب حماية الأجهزة الظاهرية التي تواجه الإنترنت بمجموعات أمان الشبكة | قم بحماية جهازك الظاهري من التهديدات المحتملة عن طريق تقييد الوصول إليه باستخدام مجموعة أمان الشبكة (NSG). تحتوي NSGs على قائمة بقواعد قائمة التحكم في الوصول (ACL) التي تسمح أو ترفض حركة مرور الشبكة إلى جهازك الظاهري من مثيلات أخرى، داخل أو خارج نفس الشبكة الفرعية. للحفاظ على أمان جهازك قدر الإمكان ، يجب تقييد وصول VM إلى الإنترنت ويجب تمكين NSG على الشبكة الفرعية. الأجهزة الظاهرية ذات الخطورة "العالية" هي أجهزة ظاهرية تواجه الإنترنت. (السياسة ذات الصلة: يجب حماية الأجهزة الظاهرية التي تواجه الإنترنت باستخدام مجموعات أمان الشبكة) |
درجة عالية |
| يجب تعطيل إعادة توجيه IP على جهازك الظاهري | اكتشف Defender for Cloud أن إعادة توجيه IP ممكنة على بعض أجهزتك الافتراضية. يتيح تمكين إعادة توجيه عنوان IP على جهاز تحكم بواجهة تفاعل الشبكة (NIC) الخاص بالجهاز الظاهري لتلقي حركة استخدام موجهة إلى وجهات أخرى. ونادرًا ما تكون إعادة توجيه IP مطلوبة (على سبيل المثال، عند استخدام الجهاز الظاهري كجهاز ظاهري للشبكة)، وبالتالي، يجب مراجعة ذلك بواسطة فريق أمان الشبكة. (السياسة ذات الصلة: يجب تعطيل إعادة توجيه IP على جهازك الظاهري) |
متوسط |
| يجب حماية منافذ إدارة الأجهزة الافتراضية من خلال التحكم في الوصول إلى الشبكة في الوقت المناسب | حددت Defender for Cloud بعض القواعد الواردة المتساهلة بشكل مفرط لمنافذ الإدارة في مجموعة أمان الشبكة الخاصة بك. قم بتمكين التحكم في الوصول في الوقت المناسب لحماية جهازك الظاهري من هجمات القوة الغاشمة المستندة إلى الإنترنت. تعرف على المزيد في فهم الوصول إلى الأجهزة الظاهرية في الوقت المناسب (JIT). (السياسة ذات الصلة: يجب حماية منافذ إدارة الأجهزة الظاهرية من خلال التحكم في الوصول إلى الشبكة في الوقت المناسب) |
درجة عالية |
| يجب إغلاق منافذ الإدارة على الأجهزة الظاهرية | تُعرِّض منافذ الإدارة عن بعد المفتوحة جهازك الظاهري لمستوى عالٍ من المخاطر الناجمة عن الهجمات المستندة إلى الإنترنت. وتحاول هذه الهجمات استخدام القوة الغاشمة للإضرار ببيانات الاعتماد للوصول كمسؤول إلى الجهاز. (السياسة ذات الصلة: يجب إغلاق منافذ الإدارة على أجهزتك الظاهرية) |
متوسط |
| يجب حماية الأجهزة الظاهرية غير المواجهة للإنترنت بمجموعات أمان الشبكة | قم بحماية جهازك الظاهري غير المواجه للإنترنت من التهديدات المحتملة عن طريق تقييد الوصول إليه باستخدام مجموعة أمان الشبكة (NSG). تحتوي NSGs على قائمة بقواعد قائمة التحكم في الوصول (ACL) التي تسمح أو ترفض حركة مرور الشبكة إلى جهازك الظاهري من مثيلات أخرى، سواء كانت على نفس الشبكة الفرعية أم لا. لاحظ أنه للحفاظ على أمان جهازك قدر الإمكان ، يجب تقييد وصول الجهاز الظاهري إلى الإنترنت ويجب تمكين NSG على الشبكة الفرعية. (السياسة ذات الصلة: يجب حماية الأجهزة الظاهرية غير المواجهة للإنترنت باستخدام مجموعات أمان الشبكة) |
منخفض |
| يجب تمكين النقل الآمن إلى حسابات التخزين | يُعد النقل الآمن عبارة عن خيار يفرض على حساب التخزين عدم قبول طلبات إلا من الاتصالات الآمنة (بروتوكول نقل النص التشعبي الآمن). يضمن استخدام HTTPS المصادقة بين الخادم والخدمة ويحمي البيانات أثناء نقلها من هجمات طبقة الشبكة مثل الرجل في الوسط والتنصت واختطاف الجلسة. (السياسة ذات الصلة: يجب تمكين النقل الآمن إلى حسابات التخزين) |
درجة عالية |
| يجب أن تكون الشبكات الفرعية مقترنة بمجموعة أمان شبكة | قم بحماية شبكتك الفرعية من التهديدات المحتملة عن طريق تقييد الوصول إليها باستخدام مجموعة أمان الشبكة (NSG). تحتوي مجموعات أمان الشبكة على قائمة قواعد التحكم في الوصول (ACL) التي تسمح بحركة استخدام الشبكة إلى شبكتك الفرعية أو تمنعها. عندما تكون NSG مقترنة بشبكة فرعية، تنطبق قواعد ACL على جميع مثيلات الأجهزة الظاهرية والخدمات المتكاملة في تلك الشبكة الفرعية، ولكنها لا تنطبق على حركة المرور الداخلية داخل الشبكة الفرعية. لتأمين الموارد في نفس الشبكة الفرعية من بعضها البعض ، قم بتمكين NSG مباشرة على الموارد أيضا. لاحظ أنه سيتم سرد أنواع الشبكات الفرعية التالية على أنها غير قابلة للتطبيق: GatewaySubnet و AzureFirewallSubnet و AzureBastionSubnet. (السياسة ذات الصلة: يجب ربط الشبكات الفرعية بمجموعة أمان الشبكة) |
منخفض |
| يجب حماية الشبكات الظاهرية بواسطة جدار حماية Azure | بعض شبكاتك الافتراضية غير محمية بجدار حماية. استخدم جدار حماية Azure لتقييد الوصول إلى شبكاتك الافتراضية ومنع التهديدات المحتملة. تعرف على المزيد حول جدار حماية Azure. (السياسة ذات الصلة: يجب توجيه جميع حركة المرور على الإنترنت عبر جدار حماية Azure الذي تم نشره) |
منخفض |
التوصيات المهملة
| التوصية | السياسة المتعلقة بالوصف & | الخطورة |
|---|---|---|
| يجب تقييد الوصول إلى خدمات التطبيقات | يمكنك تقييد الوصول إلى خدمات التطبيقات عن طريق تغيير تكوين الشبكة، لرفض حركة المرور الواردة من النطاقات الواسعة جدا. (السياسة ذات الصلة: [معاينة]: يجب تقييد الوصول إلى خدمات التطبيقات) |
درجة عالية |
| يجب تشديد قواعد تطبيقات الويب على IaaS NSGs | قم بتجميع مجموعة أمان الشبكة (NSG) الخاصة بأجهزتك الظاهرية التي تقوم بتشغيل تطبيقات الويب ، باستخدام قواعد NSG المتساهلة بشكل مفرط فيما يتعلق بمنافذ تطبيقات الويب. (سياسة ذات صلة: يجب تشديد قواعد NSGs لتطبيقات الويب على IaaS) |
درجة عالية |
| يجب تعريف سياسات أمان Pod لتقليل متجه الهجوم عن طريق إزالة امتيازات التطبيق غير الضرورية (معاينة) | حدد سياسات أمان Pod لتقليل متجه الهجوم عن طريق إزالة امتيازات التطبيق غير الضرورية. يوصى بتكوين سياسات أمان pod حتى تتمكن pods من الوصول فقط إلى الموارد التي يسمح لها بالوصول إليها. (السياسة ذات الصلة: [معاينة]: يجب تعريف سياسات أمان Pod على خدمات Kubernetes) |
متوسط |
| قم بتثبيت وحدة أمان Azure Security Center for IoT للحصول على مزيد من الرؤية في أجهزة إنترنت الأشياء الخاصة بك | قم بتثبيت وحدة أمان Azure Security Center for IoT للحصول على مزيد من الرؤية في أجهزة إنترنت الأشياء الخاصة بك. | منخفض |
| يجب إعادة تشغيل أجهزتك لتطبيق تحديثات النظام | أعد تشغيل أجهزتك لتطبيق تحديثات النظام وتأمين الجهاز من الثغرات الأمنية. (السياسة ذات الصلة: يجب تثبيت تحديثات النظام على أجهزتك) | متوسط |
| يجب تثبيت عامل المراقبة على أجهزتك | يقوم هذا الإجراء بتثبيت عامل مراقبة على الأجهزة الظاهرية المحددة. حدد مساحة عمل للوكيل لتقديم تقرير إليها. (لا توجد سياسة ذات صلة) | درجة عالية |
الخطوات التالية
لمعرفة المزيد حول الاقتراحات، راجع ما يلي: