Podrobnosti o integrované iniciativě Dodržování právních předpisů v systému a organizacích (SOC) 2 (Azure Government)
Následující článek podrobně popisuje, jak se předdefinovaná definice iniciativy dodržování předpisů Azure Policy mapuje na domény dodržování předpisů a ovládací prvky v systému a řízení organizace (SOC) 2 (Azure Government). Další informace o této normě dodržování předpisů naleznete v tématu System and Organization Controls (SOC) 2. Informace o vlastnictví najdete v tématu Definice zásad Azure Policy a Sdílená odpovědnost v cloudu.
Následující mapování jsou na ovládací prvky System and Organization Controls (SOC) 2 . Mnoho ovládacích prvků se implementuje s definicí iniciativy Azure Policy . Pokud chcete zkontrolovat úplnou definici iniciativy, otevřete zásady na webu Azure Portal a vyberte stránku Definice . Pak vyhledejte a vyberte předdefinované definice iniciativy SOC 2 typu 2 pro dodržování právních předpisů.
Důležité
Každý následující ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy . Tyto zásady vám můžou pomoct vyhodnotit dodržování předpisů ovládacích prvků, ale často mezi ovládacím prvek a jednou nebo více zásadami není shoda 1:1 nebo úplná shoda. Dodržování předpisů v Azure Policy proto odkazuje jenom na samotné definice zásad. Tím se nezajistí, že plně splňujete všechny požadavky ovládacího prvku. Kromě toho standard dodržování předpisů zahrnuje ovládací prvky, které nejsou v tuto chvíli adresovány žádnými definicemi služby Azure Policy. Dodržování předpisů ve službě Azure Policy je proto jen částečné zobrazení celkového stavu dodržování předpisů. Přidružení mezi doménami dodržování předpisů, ovládacími prvky a definicemi služby Azure Policy pro tento standard dodržování předpisů se můžou v průběhu času měnit. Pokud chcete zobrazit historii změn, podívejte se na historii potvrzení GitHubu.
Další kritéria pro dostupnost
Správa kapacity
ID: SOC 2 Type 2 A1.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Plánování kapacity | CMA_C1252 – Plánování kapacity | Ručně, zakázáno | 1.1.0 |
Ochrana životního prostředí, software, procesy zálohování dat a infrastruktura obnovení
ID: SOC 2 Type 2 A1.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro virtuální počítače by měla být povolená služba Azure Backup. | Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 3.0.0 |
| Použití automatického nouzového osvětlení | CMA_0209 – použití automatického nouzového osvětlení | Ručně, zakázáno | 1.1.0 |
| Vytvoření lokality pro alternativní zpracování | CMA_0262 – Vytvoření lokality pro alternativní zpracování | Ručně, zakázáno | 1.1.0 |
| Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. | Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. | Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. | Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Implementace metodologie penetračního testování | CMA_0306 – implementace metodologie penetračního testování | Ručně, zakázáno | 1.1.0 |
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
| Instalace alarmového systému | CMA_0338 – Instalace alarmového systému | Ručně, zakázáno | 1.1.0 |
| Obnovení a rekonstituce prostředků po přerušení | CMA_C1295 – obnovení a rekonstituce prostředků po přerušení | Ručně, zakázáno | 1.1.1 |
| Spuštění útoků simulace | CMA_0486 – Spuštění útoků simulace | Ručně, zakázáno | 1.1.0 |
| Samostatně ukládat informace o zálohování | CMA_C1293 – Samostatně ukládat informace o zálohování | Ručně, zakázáno | 1.1.0 |
| Přenos informací o zálohování do alternativní lokality úložiště | CMA_C1294 – Přenos informací o zálohování do alternativní lokality úložiště | Ručně, zakázáno | 1.1.0 |
Testování plánu obnovení
ID: SOC 2 Typ 2 A1.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Koordinace plánů nepředvídaných událostí se souvisejícími plány | CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány | Ručně, zakázáno | 1.1.0 |
| Zahájení nápravných akcí pro testování plánu nepředvídaných událostí | CMA_C1263 – Zahájení nápravných akcí pro testování nepředvídaných plánů | Ručně, zakázáno | 1.1.0 |
| Kontrola výsledků testování plánu nepředvídaných událostí | CMA_C1262 – kontrola výsledků testování nepředvídaných plánů | Ručně, zakázáno | 1.1.0 |
| Testování plánu provozní kontinuity a zotavení po havárii | CMA_0509 – Testování plánu provozní kontinuity a zotavení po havárii | Ručně, zakázáno | 1.1.0 |
Další kritéria pro důvěrnost
Ochrana důvěrných informací
ID: SOC 2 Type 2 C1.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
| Správa vstupu, výstupu, zpracování a ukládání dat | CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat | Ručně, zakázáno | 1.1.0 |
| Kontrola aktivity a analýzy popisků | CMA_0474 – Kontrola aktivit a analýz popisků | Ručně, zakázáno | 1.1.0 |
Vyřazení důvěrných informací
ID: SOC 2 Type 2 C1.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
| Správa vstupu, výstupu, zpracování a ukládání dat | CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat | Ručně, zakázáno | 1.1.0 |
| Kontrola aktivity a analýzy popisků | CMA_0474 – Kontrola aktivit a analýz popisků | Ručně, zakázáno | 1.1.0 |
Řídicí prostředí
COSO – princip 1
ID: SOC 2 Typ 2 CC1.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj přijatelných zásad a postupů použití | CMA_0143 – Vývoj přijatelných zásad a postupů použití | Ručně, zakázáno | 1.1.0 |
| Vývoj zásad chování organizace | CMA_0159 – Vývoj zásad chování organizace | Ručně, zakázáno | 1.1.0 |
| Zdokumentování přijetí požadavků na ochranu osobních údajů | CMA_0193 – zdokumentování přijetí požadavků na ochranu osobních údajů pracovníky | Ručně, zakázáno | 1.1.0 |
| Vynucení pravidel chování a smluv o přístupu | CMA_0248 – vynucování pravidel chování a smluv o přístupu | Ručně, zakázáno | 1.1.0 |
| Zakázat nespravedlivé praktiky | CMA_0396 – Zákaz nespravedlivých praktik | Ručně, zakázáno | 1.1.0 |
| Kontrola a podepsání revidovaných pravidel chování | CMA_0465 – Kontrola a podepsání revidovaných pravidel chování | Ručně, zakázáno | 1.1.0 |
| Aktualizace pravidel chování a přístupových smluv | CMA_0521 – aktualizace pravidel chování a smluv o přístupu | Ručně, zakázáno | 1.1.0 |
| Aktualizace pravidel chování a přístupových smluv každých 3 roky | CMA_0522 – aktualizace pravidel chování a přístupových smluv každých 3 roky | Ručně, zakázáno | 1.1.0 |
Princip COSO 2
ID: SOC 2 Typ 2 CC1.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Jmenovat vedoucího pracovníka pro zabezpečení informací | CMA_C1733 - Jmenovat vedoucího pracovníka pro bezpečnost informací | Ručně, zakázáno | 1.1.0 |
| Vývoj a vytvoření plánu zabezpečení systému | CMA_0151 – Vývoj a vytvoření plánu zabezpečení systému | Ručně, zakázáno | 1.1.0 |
| Vytvoření strategie řízení rizik | CMA_0258 – Vytvoření strategie řízení rizik | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na zabezpečení pro výrobu připojených zařízení | CMA_0279 – Stanovení požadavků na zabezpečení pro výrobu připojených zařízení | Ručně, zakázáno | 1.1.0 |
| Implementace principů přípravy zabezpečení informačních systémů | CMA_0325 – Implementace principů bezpečnostního inženýrství informačních systémů | Ručně, zakázáno | 1.1.0 |
COSO – princip 3
ID: SOC 2 Typ 2 CC1.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Jmenovat vedoucího pracovníka pro zabezpečení informací | CMA_C1733 - Jmenovat vedoucího pracovníka pro bezpečnost informací | Ručně, zakázáno | 1.1.0 |
| Vývoj a vytvoření plánu zabezpečení systému | CMA_0151 – Vývoj a vytvoření plánu zabezpečení systému | Ručně, zakázáno | 1.1.0 |
| Vytvoření strategie řízení rizik | CMA_0258 – Vytvoření strategie řízení rizik | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na zabezpečení pro výrobu připojených zařízení | CMA_0279 – Stanovení požadavků na zabezpečení pro výrobu připojených zařízení | Ručně, zakázáno | 1.1.0 |
| Implementace principů přípravy zabezpečení informačních systémů | CMA_0325 – Implementace principů bezpečnostního inženýrství informačních systémů | Ručně, zakázáno | 1.1.0 |
Princip COSO 4
ID: SOC 2 Typ 2 CC1.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zajištění pravidelného trénování zabezpečení na základě rolí | CMA_C1095 – zajištění pravidelného trénování zabezpečení na základě rolí | Ručně, zakázáno | 1.1.0 |
| Zajištění pravidelného školení pro zvyšování povědomí o zabezpečení | CMA_C1091 – zajištění pravidelného školení pro zvyšování povědomí o zabezpečení | Ručně, zakázáno | 1.1.0 |
| Poskytnutí praktických cvičení založených na rolích | CMA_C1096 – poskytování praktických cvičení založených na rolích | Ručně, zakázáno | 1.1.0 |
| Zajištění školení zabezpečení před poskytnutím přístupu | CMA_0418 – zajištění školení zabezpečení před poskytnutím přístupu | Ručně, zakázáno | 1.1.0 |
| Zajištění školení zabezpečení pro nové uživatele | CMA_0419 – poskytování školení zabezpečení pro nové uživatele | Ručně, zakázáno | 1.1.0 |
COSO – princip 5
ID: SOC 2 Typ 2 CC1.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj přijatelných zásad a postupů použití | CMA_0143 – Vývoj přijatelných zásad a postupů použití | Ručně, zakázáno | 1.1.0 |
| Vynucení pravidel chování a smluv o přístupu | CMA_0248 – vynucování pravidel chování a smluv o přístupu | Ručně, zakázáno | 1.1.0 |
| Implementace formálního procesu sankcí | CMA_0317 – implementace formálního procesu sankcí | Ručně, zakázáno | 1.1.0 |
| Upozornit pracovníky na sankce | CMA_0380 – upozornit pracovníky na sankce | Ručně, zakázáno | 1.1.0 |
Komunikace a informace
Princip COSO 13
ID: SOC 2 Typ 2 CC2.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
| Správa vstupu, výstupu, zpracování a ukládání dat | CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat | Ručně, zakázáno | 1.1.0 |
| Kontrola aktivity a analýzy popisků | CMA_0474 – Kontrola aktivit a analýz popisků | Ručně, zakázáno | 1.1.0 |
Princip COSO 14
ID: SOC 2 Typ 2 CC2.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj přijatelných zásad a postupů použití | CMA_0143 – Vývoj přijatelných zásad a postupů použití | Ručně, zakázáno | 1.1.0 |
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.0.0 |
| Vynucení pravidel chování a smluv o přístupu | CMA_0248 – vynucování pravidel chování a smluv o přístupu | Ručně, zakázáno | 1.1.0 |
| Zajištění pravidelného trénování zabezpečení na základě rolí | CMA_C1095 – zajištění pravidelného trénování zabezpečení na základě rolí | Ručně, zakázáno | 1.1.0 |
| Zajištění pravidelného školení pro zvyšování povědomí o zabezpečení | CMA_C1091 – zajištění pravidelného školení pro zvyšování povědomí o zabezpečení | Ručně, zakázáno | 1.1.0 |
| Zajištění školení zabezpečení před poskytnutím přístupu | CMA_0418 – zajištění školení zabezpečení před poskytnutím přístupu | Ručně, zakázáno | 1.1.0 |
| Zajištění školení zabezpečení pro nové uživatele | CMA_0419 – poskytování školení zabezpečení pro nové uživatele | Ručně, zakázáno | 1.1.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Princip COSO 15
ID: SOC 2 Typ 2 CC2.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování povinností zpracovatelů | CMA_0127 – definování povinností zpracovatelů | Ručně, zakázáno | 1.1.0 |
| Doručování výsledků posouzení zabezpečení | CMA_C1147 – Poskytování výsledků posouzení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vývoj a vytvoření plánu zabezpečení systému | CMA_0151 – Vývoj a vytvoření plánu zabezpečení systému | Ručně, zakázáno | 1.1.0 |
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.0.0 |
| Stanovení požadavků na zabezpečení pro výrobu připojených zařízení | CMA_0279 – Stanovení požadavků na zabezpečení pro výrobu připojených zařízení | Ručně, zakázáno | 1.1.0 |
| Vytvoření požadavků na zabezpečení pracovníků třetích stran | CMA_C1529 – Vytvoření požadavků na zabezpečení pracovníků třetích stran | Ručně, zakázáno | 1.1.0 |
| Implementace metod doručování oznámení o ochraně osobních údajů | CMA_0324 – Implementace metod doručování oznámení o ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Implementace principů přípravy zabezpečení informačních systémů | CMA_0325 – Implementace principů bezpečnostního inženýrství informačních systémů | Ručně, zakázáno | 1.1.0 |
| Vytvoření sestavy posouzení zabezpečení | CMA_C1146 – Vytvoření sestavy posouzení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Uveďte oznámení o ochraně osobních údajů. | CMA_0414 – Uveďte oznámení o ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Vyžadovat, aby poskytovatelé třetích stran dodržovali zásady a postupy zabezpečení pracovníků. | CMA_C1530 – Vyžadovat, aby poskytovatelé třetích stran dodržovali zásady a postupy zabezpečení pracovníků | Ručně, zakázáno | 1.1.0 |
| Omezení komunikace | CMA_0449 – Omezení komunikace | Ručně, zakázáno | 1.1.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
Posouzení rizik
COSO – princip 6
ID: SOC 2 Typ 2 CC3.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kategorizace informací | CMA_0052 – kategorizace informací | Ručně, zakázáno | 1.1.0 |
| Určení potřeb ochrany informací | CMA_C1750 – Určení potřeb ochrany informací | Ručně, zakázáno | 1.1.0 |
| Vývoj schémat obchodní klasifikace | CMA_0155 – vývoj schémat obchodní klasifikace | Ručně, zakázáno | 1.1.0 |
| Vývoj ZSP, který splňuje kritéria | CMA_C1492 – Vývoj ZSP, který splňuje kritéria | Ručně, zakázáno | 1.1.0 |
| Vytvoření strategie řízení rizik | CMA_0258 – Vytvoření strategie řízení rizik | Ručně, zakázáno | 1.1.0 |
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
| Kontrola aktivity a analýzy popisků | CMA_0474 – Kontrola aktivit a analýz popisků | Ručně, zakázáno | 1.1.0 |
COSO – princip 7
ID: SOC 2 Typ 2 CC3.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kategorizace informací | CMA_0052 – kategorizace informací | Ručně, zakázáno | 1.1.0 |
| Určení potřeb ochrany informací | CMA_C1750 – Určení potřeb ochrany informací | Ručně, zakázáno | 1.1.0 |
| Vývoj schémat obchodní klasifikace | CMA_0155 – vývoj schémat obchodní klasifikace | Ručně, zakázáno | 1.1.0 |
| Vytvoření strategie řízení rizik | CMA_0258 – Vytvoření strategie řízení rizik | Ručně, zakázáno | 1.1.0 |
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
| Kontrola aktivity a analýzy popisků | CMA_0474 – Kontrola aktivit a analýz popisků | Ručně, zakázáno | 1.1.0 |
| Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
| Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
COSO – princip 8
ID: SOC 2 Typ 2 CC3.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
COSO – princip 9
ID: SOC 2 Type 2 CC3.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Posouzení rizika v relacích třetích stran | CMA_0014 – Posouzení rizika v relacích třetích stran | Ručně, zakázáno | 1.1.0 |
| Definování požadavků na dodávky zboží a služeb | CMA_0126 – Definování požadavků na dodávky zboží a služeb | Ručně, zakázáno | 1.1.0 |
| Určení závazků dodavatelů | CMA_0140 – Určení závazků dodavatelů | Ručně, zakázáno | 1.1.0 |
| Vytvoření strategie řízení rizik | CMA_0258 – Vytvoření strategie řízení rizik | Ručně, zakázáno | 1.1.0 |
| Stanovení zásad pro řízení rizik dodavatelského řetězce | CMA_0275 – Vytvoření zásad pro řízení rizik dodavatelského řetězce | Ručně, zakázáno | 1.1.0 |
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
Monitorování aktivit
Princip COSO 16
ID: SOC 2 Typ 2 CC4.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Posouzení bezpečnostních prvků | CMA_C1145 – posouzení bezpečnostních prvků | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu posouzení zabezpečení | CMA_C1144 – Vývoj plánu posouzení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Výběr dalšího testování pro posouzení kontroly zabezpečení | CMA_C1149 – Výběr dalšího testování pro posouzení kontroly zabezpečení | Ručně, zakázáno | 1.1.0 |
COSO – princip 17
ID: SOC 2 Typ 2 CC4.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Doručování výsledků posouzení zabezpečení | CMA_C1147 – Poskytování výsledků posouzení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vytvoření sestavy posouzení zabezpečení | CMA_C1146 – Vytvoření sestavy posouzení zabezpečení | Ručně, zakázáno | 1.1.0 |
Aktivity řízení
COSO – princip 10
ID: SOC 2 Typ 2 CC5.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vytvoření strategie řízení rizik | CMA_0258 – Vytvoření strategie řízení rizik | Ručně, zakázáno | 1.1.0 |
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
COSO – princip 11
ID: SOC 2 Typ 2 CC5.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Návrh modelu řízení přístupu | CMA_0129 – Návrh modelu řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Určení závazků dodavatelů | CMA_0140 – Určení závazků dodavatelů | Ručně, zakázáno | 1.1.0 |
| Kritéria přijetí smlouvy o pořízení dokumentu | CMA_0187 – Kritéria přijetí smlouvy o pořízení dokumentu | Ručně, zakázáno | 1.1.0 |
| Ochrana osobních údajů v kupních smlouvách | CMA_0194 - Ochrana osobních údajů v kupních smlouvách | Ručně, zakázáno | 1.1.0 |
| Ochrana informací o zabezpečení ve smlouvách o pořízení | CMA_0195 – ochrana bezpečnostních údajů v kupních smlouvách | Ručně, zakázáno | 1.1.0 |
| Požadavky na dokument pro použití sdílených dat v kontraktech | CMA_0197 – požadavky na dokument pro použití sdílených dat ve smlouvách | Ručně, zakázáno | 1.1.0 |
| Zdokumentování požadavků na záruku zabezpečení v kupních smlouvách | CMA_0199 – Zdokumentování požadavků na záruku zabezpečení v rámci kupních smluv | Ručně, zakázáno | 1.1.0 |
| Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání | CMA_0200 – Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání | Ručně, zakázáno | 1.1.0 |
| Zdokumentování funkčních požadavků na zabezpečení ve smlouvách o získání | CMA_0201 – Zdokumentování požadavků na funkčnost zabezpečení ve smlouvách o získání | Ručně, zakázáno | 1.1.0 |
| Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách | CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv | Ručně, zakázáno | 1.1.0 |
| Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích. | CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení | Ručně, zakázáno | 1.1.0 |
| Zdokumentujte ochranu údajů o držitelích karet ve smlouvách třetích stran. | CMA_0207 - Zdokumentujte ochranu údajů držitelů karet ve smlouvách třetích stran. | Ručně, zakázáno | 1.1.0 |
| Využití přístupu s nejnižšími oprávněními | CMA_0212 – Využití přístupu s nejnižšími oprávněními | Ručně, zakázáno | 1.1.0 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
| K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
Princip COSO 12
ID: SOC 2 Typ 2 CC5.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Konfigurace seznamu povolených zjišťování | CMA_0068 – Konfigurace seznamu povolených zjišťování | Ručně, zakázáno | 1.1.0 |
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
| Zapnutí senzorů pro řešení zabezpečení koncových bodů | CMA_0514 – Zapnutí senzorů pro řešení zabezpečení koncových bodů | Ručně, zakázáno | 1.1.0 |
| Projít nezávislou kontrolou zabezpečení | CMA_0515 – Projděte si nezávislou kontrolu zabezpečení | Ručně, zakázáno | 1.1.0 |
Logické a fyzické řízení přístupu
Software, infrastruktura a architektury zabezpečení logického přístupu
ID: SOC 2 Typ 2 CC6.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Přijetí biometrických mechanismů ověřování | CMA_0005 – přijetí biometrických mechanismů ověřování | Ručně, zakázáno | 1.1.0 |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace app Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, zakázáno | 2.4.0 |
| Autorizace přístupu k funkcím zabezpečení a informacím | CMA_0022 – Autorizace přístupu k funkcím zabezpečení a informacím | Ručně, zakázáno | 1.1.0 |
| Autorizace a správa přístupu | CMA_0023 – Autorizace a správa přístupu | Ručně, zakázáno | 1.1.0 |
| Autorizace vzdáleného přístupu | CMA_0024 – Autorizace vzdáleného přístupu | Ručně, zakázáno | 1.1.0 |
| Proměnné účtu Automation by měly být šifrované. | Při ukládánícitlivýchch | Audit, Odepřít, Zakázáno | 1.1.0 |
| Účty služby Azure Cosmos DB by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Ke správě šifrování neaktivních uložených dat ve službě Azure Cosmos DB použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/cosmosdb-cmk. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 1.1.0 |
| Pracovní prostory azure machine Učení by měly být šifrované pomocí klíče spravovaného zákazníkem. | Správa šifrování neaktivních uložených dat v pracovním prostoru Azure Machine Učení pomocí klíčů spravovaných zákazníkem Ve výchozím nastavení se zákaznická data šifrují pomocí klíčů spravovaných službami, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/azureml-workspaces-cmk. | Audit, Odepřít, Zakázáno | 1.0.3 |
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty služeb Cognitive Services by měly povolit šifrování dat pomocí klíče spravovaného zákazníkem. | Klíče spravované zákazníkem se běžně vyžadují ke splnění zákonných standardů dodržování předpisů. Klíče spravované zákazníkem umožňují šifrování dat uložených ve službách Cognitive Services pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace o klíčích spravovaných zákazníkem najdete na adrese https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Registry kontejnerů by se měly šifrovat pomocí klíče spravovaného zákazníkem. | Ke správě šifrování zbývajícího obsahu vašich registrů použijte klíče spravované zákazníkem. Ve výchozím nastavení se neaktivní uložená data šifrují pomocí klíčů spravovaných službou, ale klíče spravované zákazníkem se běžně vyžadují ke splnění standardů dodržování právních předpisů. Klíče spravované zákazníkem umožňují šifrování dat pomocí klíče služby Azure Key Vault vytvořeného a vlastněného vámi. Máte plnou kontrolu nad klíčovým životním cyklem, včetně obměně a správy. Další informace najdete na adrese https://aka.ms/acr/CMK. | Audit, Odepřít, Zakázáno | 1.1.2 |
| Tok informací o řízení | CMA_0079 – tok informací o řízení | Ručně, zakázáno | 1.1.0 |
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
| Vytvoření inventáře dat | CMA_0096 – Vytvoření inventáře dat | Ručně, zakázáno | 1.1.0 |
| Definování procesu správy fyzických klíčů | CMA_0115 – Definování procesu správy fyzických klíčů | Ručně, zakázáno | 1.1.0 |
| Definování kryptografického použití | CMA_0120 – Definování kryptografického použití | Ručně, zakázáno | 1.1.0 |
| Definování požadavků organizace na správu kryptografických klíčů | CMA_0123 – Definování požadavků organizace na správu kryptografických klíčů | Ručně, zakázáno | 1.1.0 |
| Návrh modelu řízení přístupu | CMA_0129 – Návrh modelu řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Určení požadavků na kontrolní výraz | CMA_0136 – Určení požadavků na kontrolní výraz | Ručně, zakázáno | 1.1.0 |
| Školení k dokumentování mobility | CMA_0191 – Školení k dokumentování mobility | Ručně, zakázáno | 1.1.0 |
| Zdokumentovat pokyny pro vzdálený přístup | CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup | Ručně, zakázáno | 1.1.0 |
| Použití mechanismů řízení toku zašifrovaných informací | CMA_0211 – využití mechanismů řízení toku zašifrovaných informací | Ručně, zakázáno | 1.1.0 |
| Využití přístupu s nejnižšími oprávněními | CMA_0212 – Využití přístupu s nejnižšími oprávněními | Ručně, zakázáno | 1.1.0 |
| Vynucení logického přístupu | CMA_0245 – vynucení logického přístupu | Ručně, zakázáno | 1.1.0 |
| Vynucení povinných a volitelných zásad řízení přístupu | CMA_0246 – Vynucení povinných a volitelných zásad řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| Vytvoření postupu správy úniku dat | CMA_0255 – Vytvoření postupu správy úniku dat | Ručně, zakázáno | 1.1.0 |
| Vytvoření standardů konfigurace brány firewall a směrovače | CMA_0272 – Vytvoření standardů konfigurace brány firewall a směrovače | Ručně, zakázáno | 1.1.0 |
| Vytvoření segmentace sítě pro datové prostředí držitelů karet | CMA_0273 – Vytvoření segmentace sítě pro datové prostředí držitelů karet | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Identifikace a správa výměn podřízených informací | CMA_0298 – Identifikace a správa výměn informací v podřízených | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | Ručně, zakázáno | 1.1.0 |
| Implementace fyzického zabezpečení pro kanceláře, pracovní oblasti a zabezpečené oblasti | CMA_0323 – Implementace fyzického zabezpečení pro kanceláře, pracovní prostory a zabezpečené oblasti | Ručně, zakázáno | 1.1.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Vystavení certifikátů veřejného klíče | CMA_0347 – Vydávání certifikátů veřejného klíče | Ručně, zakázáno | 1.1.0 |
| Trezory klíčů by měly mít povolenou ochranu před odstraněním. | Škodlivé odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Trvalé ztrátě dat můžete zabránit povolením ochrany před vymazáním a obnovitelného odstranění. Ochrana před vymazáním vás chrání před vnitřními útoky tím, že vynucuje povinné období uchovávání pro trezory klíčů s obnovitelném odstraněním. Během doby uchovávání obnovitelného odstranění nebude moct nikdo ve vaší organizaci ani Microsoft vyprázdnit trezory klíčů. Mějte na paměti, že trezory klíčů vytvořené po 1. září 2019 mají ve výchozím nastavení povolené obnovitelné odstranění. | Audit, Odepřít, Zakázáno | 2.1.0 |
| Trezory klíčů by měly mít povolené obnovitelné odstranění. | Odstranění trezoru klíčů bez povoleného obnovitelného odstranění trvale odstraní všechny tajné kódy, klíče a certifikáty uložené v trezoru klíčů. Náhodné odstranění trezoru klíčů může vést ke ztrátě trvalých dat. Obnovitelné odstranění umožňuje obnovit náhodně odstraněný trezor klíčů pro konfigurovatelnou dobu uchovávání. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.1.0 |
| Udržovat záznamy o zpracování osobních údajů | CMA_0353 - Udržování záznamů o zpracování osobních údajů | Ručně, zakázáno | 1.1.0 |
| Správa symetrických kryptografických klíčů | CMA_0367 – Správa symetrických kryptografických klíčů | Ručně, zakázáno | 1.1.0 |
| Správa vstupu, výstupu, zpracování a ukládání dat | CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat | Ručně, zakázáno | 1.1.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Upozorňovat uživatele na přihlášení k systému nebo přístup | CMA_0382 – Upozorněte uživatele na přihlášení nebo přístup k systému | Ručně, zakázáno | 1.1.0 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana speciálních informací | CMA_0409 – Ochrana speciálních informací | Ručně, zakázáno | 1.1.0 |
| Poskytnutí školení k ochraně osobních údajů | CMA_0415 – poskytování školení k ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Vyžadovat schválení pro vytvoření účtu | CMA_0431 – Vyžadování schválení pro vytvoření účtu | Ručně, zakázáno | 1.1.0 |
| Omezení přístupu k privátním klíčům | CMA_0445 – Omezení přístupu k privátním klíčům | Ručně, zakázáno | 1.1.0 |
| Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | CMA_0481 – Kontrola skupin uživatelů a aplikací s přístupem k citlivým datům | Ručně, zakázáno | 1.1.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Clustery Service Fabric by měly mít vlastnost ClusterProtectionLevel nastavenou na EncryptAndSign. | Service Fabric poskytuje tři úrovně ochrany (None, Sign and EncryptAndSign) pro komunikaci mezi uzly pomocí primárního certifikátu clusteru. Nastavte úroveň ochrany, aby se zajistilo, že všechny zprávy node-to-node jsou šifrované a digitálně podepsané. | Audit, Odepřít, Zakázáno | 1.1.0 |
| Spravované instance SQL by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem vám poskytuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a zvýšením oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Sql Servery by měly k šifrování neaktivních uložených dat používat klíče spravované zákazníkem. | Implementace transparentní šifrování dat (TDE) s vlastním klíčem zajišťuje zvýšenou transparentnost a kontrolu nad ochranou transparentním šifrováním dat, vyšším zabezpečením externí služby založené na HSM a propagací oddělení povinností. Toto doporučení platí pro organizace se souvisejícím požadavkem na dodržování předpisů. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Účet úložiště obsahující kontejner s protokoly aktivit musí být šifrovaný pomocí BYOK. | Tato zásada provede audit, jestli je účet úložiště obsahující kontejner s protokoly aktivit šifrovaný pomocí BYOK. Zásady fungují jenom v případě, že účet úložiště leží ve stejném předplatném jako protokoly aktivit podle návrhu. Další informace o šifrování neaktivních uložených dat ve službě Azure Storage najdete tady https://aka.ms/azurestoragebyok. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty úložiště by pro šifrování měly používat klíč spravovaný zákazníkem. | Zabezpečení účtu úložiště objektů blob a souborů s větší flexibilitou s využitím klíčů spravovaných zákazníkem Když zadáte klíč spravovaný zákazníkem, použije se tento klíč k ochraně a řízení přístupu ke klíči, který šifruje vaše data. Použití klíčů spravovaných zákazníkem poskytuje další možnosti pro řízení obměně šifrovacího klíče klíče nebo kryptografického vymazání dat. | Audit, zakázáno | 1.0.3 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
| transparentní šifrování dat v databázích SQL by měly být povolené | Transparentní šifrování dat by mělo být povolené pro ochranu neaktivních uložených dat a splnění požadavků na dodržování předpisů. | AuditIfNotExists, zakázáno | 2.0.0 |
| Virtuální počítače by měly šifrovat dočasné disky, mezipaměti a toky dat mezi výpočetními prostředky a prostředky úložiště. | Ve výchozím nastavení se operační systém a datové disky virtuálního počítače šifrují neaktivní uložená data pomocí klíčů spravovaných platformou. Dočasné disky, mezipaměti dat a tok dat mezi výpočetními prostředky a úložištěm se nešifrují. Toto doporučení ignorujte, pokud: 1. pomocí šifrování na hostiteli nebo 2. Šifrování na straně serveru na Spravované disky splňuje vaše požadavky na zabezpečení. Další informace najdete v tématu: Šifrování Azure Disk Storage na straně serveru: https://aka.ms/disksse, různé nabídky šifrování disků: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, zakázáno | 2.0.3 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 3.0.1 |
Zřizování a odebrání přístupu
ID: SOC 2 Type 2 CC6.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Přiřazení správců účtů | CMA_0015 – Přiřazení správců účtů | Ručně, zakázáno | 1.1.0 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Oprávnění k přístupu k dokumentům | CMA_0186 – oprávnění k přístupu k dokumentům | Ručně, zakázáno | 1.1.0 |
| Vytvoření podmínek pro členství v rolích | CMA_0269 – Vytvoření podmínek pro členství v rolích | Ručně, zakázáno | 1.1.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Vyžadovat schválení pro vytvoření účtu | CMA_0431 – Vyžadování schválení pro vytvoření účtu | Ručně, zakázáno | 1.1.0 |
| Omezení přístupu k privilegovaným účtům | CMA_0446 – Omezení přístupu k privilegovaným účtům | Ručně, zakázáno | 1.1.0 |
| Kontrola protokolů zřizování účtů | CMA_0460 – Kontrola protokolů zřizování účtů | Ručně, zakázáno | 1.1.0 |
| Kontrola uživatelských účtů | CMA_0480 – Kontrola uživatelských účtů | Ručně, zakázáno | 1.1.0 |
Přístup založený na rolech a nejnižší oprávnění
ID: SOC 2 Type 2 CC6.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro vaše předplatné by mělo být určeno maximálně 3 vlastníky. | Doporučujeme určit až 3 vlastníky předplatného, aby se snížil potenciál porušení zabezpečení ohroženým vlastníkem. | AuditIfNotExists, zakázáno | 3.0.0 |
| Audit privilegovaných funkcí | CMA_0019 – Audit privilegovaných funkcí | Ručně, zakázáno | 1.1.0 |
| Auditování využití vlastních rolí RBAC | Auditujte předdefinované role, jako je Vlastník, Přispěvatel, Čtenář, Místo vlastních rolí RBAC, které jsou náchylné k chybám. Použití vlastních rolí se považuje za výjimku a vyžaduje důkladnou kontrolu a modelování hrozeb. | Audit, zakázáno | 1.0.1 |
| Audit stavu uživatelského účtu | CMA_0020 – Audit stavu uživatelského účtu | Ručně, zakázáno | 1.1.0 |
| Ve službě Kubernetes Services by se mělo používat řízení přístupu na základě role (RBAC) Azure. | Pokud chcete poskytovat podrobné filtrování akcí, které můžou uživatelé provádět, použijte azure řízení přístupu na základě role (RBAC) ke správě oprávnění v clusterech Kubernetes Service a konfiguraci příslušných zásad autorizace. | Audit, zakázáno | 1.0.3 |
| Blokované účty s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Zastaralé účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Blokované účty s oprávněními ke čtení a zápisu u prostředků Azure by se měly odebrat. | Zastaralé účty by se měly z předplatných odebrat. Zastaralé účty jsou účty, u kterých se zablokovalo přihlášení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Návrh modelu řízení přístupu | CMA_0129 – Návrh modelu řízení přístupu | Ručně, zakázáno | 1.1.0 |
| Využití přístupu s nejnižšími oprávněními | CMA_0212 – Využití přístupu s nejnižšími oprávněními | Ručně, zakázáno | 1.1.0 |
| Účty hostů s oprávněními vlastníka k prostředkům Azure by se měly odebrat. | Externí účty s oprávněními vlastníka by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněními ke čtení u prostředků Azure by se měly odebrat. | Externí účty s oprávněními ke čtení by se z vašeho předplatného měly odebrat, aby se zabránilo nemonitorovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty hostů s oprávněním k zápisu prostředků Azure by se měly odebrat. | Externí účty s oprávněním k zápisu by se měly z vašeho předplatného odebrat, aby se zabránilo nesledovanému přístupu. | AuditIfNotExists, zakázáno | 1.0.0 |
| Monitorování přiřazení privilegovaných rolí | CMA_0378 – Monitorování přiřazení privilegovaných rolí | Ručně, zakázáno | 1.1.0 |
| Omezení přístupu k privilegovaným účtům | CMA_0446 – Omezení přístupu k privilegovaným účtům | Ručně, zakázáno | 1.1.0 |
| Kontrola protokolů zřizování účtů | CMA_0460 – Kontrola protokolů zřizování účtů | Ručně, zakázáno | 1.1.0 |
| Kontrola uživatelských účtů | CMA_0480 – Kontrola uživatelských účtů | Ručně, zakázáno | 1.1.0 |
| Kontrola uživatelských oprávnění | CMA_C1039 – Kontrola uživatelských oprávnění | Ručně, zakázáno | 1.1.0 |
| Odvolání privilegovaných rolí podle potřeby | CMA_0483 – Odvolání privilegovaných rolí podle potřeby | Ručně, zakázáno | 1.1.0 |
| K vašemu předplatnému by mělo být přiřazeno více než jeden vlastník. | Pokud chcete mít přístup správce k redundanci, doporučujeme určit více než jednoho vlastníka předplatného. | AuditIfNotExists, zakázáno | 3.0.0 |
| Použití správy privilegovaných identit | CMA_0533 – Použití správy privilegovaných identit | Ručně, zakázáno | 1.1.0 |
Omezený fyzický přístup
ID: SOC 2 Typ 2 CC6.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
Logická a fyzická ochrana nad fyzickými prostředky
ID: SOC 2 Type 2 CC6.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Použití mechanismu sanitizace médií | CMA_0208 – použití mechanismu sanitizace médií | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
Bezpečnostní opatření proti hrozbám mimo hranice systému
ID: SOC 2 Typ 2 CC6.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Účty s oprávněními vlastníka k prostředkům Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními vlastníka, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněními ke čtení u prostředků Azure by měly být povolené vícefaktorové ověřování | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními ke čtení, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Účty s oprávněním k zápisu prostředků Azure by měly být povolené vícefaktorové ověřování. | Vícefaktorové ověřování (MFA) by mělo být povolené pro všechny účty předplatného s oprávněními k zápisu, aby nedošlo k narušení účtů nebo prostředků. | AuditIfNotExists, zakázáno | 1.0.0 |
| Přijetí biometrických mechanismů ověřování | CMA_0005 – přijetí biometrických mechanismů ověřování | Ručně, zakázáno | 1.1.0 |
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace app Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Ověřování na počítačích s Linuxem by mělo vyžadovat klíče SSH. | I když samotný SSH poskytuje šifrované připojení, používání hesel s protokolem SSH stále opouští virtuální počítač zranitelný vůči útokům hrubou silou. Nejbezpečnější možností ověřování na virtuálním počítači Azure s Linuxem přes SSH je pár veřejného privátního klíče, který se označuje také jako klíče SSH. Další informace: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, zakázáno | 2.4.0 |
| Autorizace vzdáleného přístupu | CMA_0024 – Autorizace vzdáleného přístupu | Ručně, zakázáno | 1.1.0 |
| Firewall webových aplikací Azure by měl být povolený pro vstupní body služby Azure Front Door. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 1.0.2 |
| Tok informací o řízení | CMA_0079 – tok informací o řízení | Ručně, zakázáno | 1.1.0 |
| Školení k dokumentování mobility | CMA_0191 – Školení k dokumentování mobility | Ručně, zakázáno | 1.1.0 |
| Zdokumentovat pokyny pro vzdálený přístup | CMA_0196 – Zdokumentovat pokyny pro vzdálený přístup | Ručně, zakázáno | 1.1.0 |
| Použití mechanismů řízení toku zašifrovaných informací | CMA_0211 – využití mechanismů řízení toku zašifrovaných informací | Ručně, zakázáno | 1.1.0 |
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| Vytvoření standardů konfigurace brány firewall a směrovače | CMA_0272 – Vytvoření standardů konfigurace brány firewall a směrovače | Ručně, zakázáno | 1.1.0 |
| Vytvoření segmentace sítě pro datové prostředí držitelů karet | CMA_0273 – Vytvoření segmentace sítě pro datové prostředí držitelů karet | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Identifikace a ověřování síťových zařízení | CMA_0296 – Identifikace a ověřování síťových zařízení | Ručně, zakázáno | 1.1.0 |
| Identifikace a správa výměn podřízených informací | CMA_0298 – Identifikace a správa výměn informací v podřízených | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | CMA_0315 – Implementace ovládacích prvků pro zabezpečení alternativních pracovních lokalit | Ručně, zakázáno | 1.1.0 |
| Implementace ochrany hranic systému | CMA_0328 – Implementace ochrany hranic systému | Ručně, zakázáno | 1.1.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Předávání IP na virtuálním počítači by mělo být zakázané. | Povolení předávání IP na síťové kartě virtuálního počítače umožňuje počítači přijímat provoz adresovaný do jiných cílů. Předávání IP se vyžaduje jen zřídka (např. při použití virtuálního počítače jako síťového virtuálního zařízení), a proto by ho měl zkontrolovat tým zabezpečení sítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.1.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Upozorňovat uživatele na přihlášení k systému nebo přístup | CMA_0382 – Upozorněte uživatele na přihlášení nebo přístup k systému | Ručně, zakázáno | 1.1.0 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Poskytnutí školení k ochraně osobních údajů | CMA_0415 – poskytování školení k ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway. | Nasaďte firewall webových aplikací Azure (WAF) před veřejně přístupné webové aplikace pro další kontrolu příchozího provozu. Firewall webových aplikací (WAF) poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení, jako jsou injektáže SQL, skriptování mezi weby, místní a vzdálené spouštění souborů. Přístup k webovým aplikacím můžete omezit také podle zemí, rozsahů IP adres a dalších parametrů HTTP prostřednictvím vlastních pravidel. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 3.0.1 |
Omezení přesunu informací autorizovaným uživatelům
ID: SOC 2 Type 2 CC6.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Všechny síťové porty by měly být omezeny na skupiny zabezpečení sítě přidružené k vašemu virtuálnímu počítači. | Služba Azure Security Center zjistila, že některá příchozí pravidla skupin zabezpečení sítě jsou příliš trvalá. Příchozí pravidla by neměla umožňovat přístup z rozsahů Any nebo Internet. To může útočníkům potenciálně umožnit, aby cílili na vaše prostředky. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace app Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | CMA_0073 – Konfigurace pracovních stanic pro kontrolu digitálních certifikátů | Ručně, zakázáno | 1.1.0 |
| Tok informací o řízení | CMA_0079 – tok informací o řízení | Ručně, zakázáno | 1.1.0 |
| Definování požadavků na mobilní zařízení | CMA_0122 – Definování požadavků na mobilní zařízení | Ručně, zakázáno | 1.1.0 |
| Použití mechanismu sanitizace médií | CMA_0208 – použití mechanismu sanitizace médií | Ručně, zakázáno | 1.1.0 |
| Použití mechanismů řízení toku zašifrovaných informací | CMA_0211 – využití mechanismů řízení toku zašifrovaných informací | Ručně, zakázáno | 1.1.0 |
| Vynutit připojení SSL by mělo být povolené pro databázové servery MySQL. | Azure Database for MySQL podporuje připojení serveru Azure Database for MySQL k klientským aplikacím pomocí protokolu SSL (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| U databázových serverů PostgreSQL by mělo být povolené vynucení připojení SSL. | Azure Database for PostgreSQL podporuje připojení serveru Azure Database for PostgreSQL k klientským aplikacím pomocí ssl (Secure Sockets Layer). Vynucení připojení SSL mezi databázovým serverem a klientskými aplikacemi pomáhá chránit před útoky "man in the middle" šifrováním datového proudu mezi serverem a vaší aplikací. Tato konfigurace vynucuje, aby protokol SSL byl vždy povolený pro přístup k databázovému serveru. | Audit, zakázáno | 1.0.1 |
| Vytvoření standardů konfigurace brány firewall a směrovače | CMA_0272 – Vytvoření standardů konfigurace brány firewall a směrovače | Ručně, zakázáno | 1.1.0 |
| Vytvoření segmentace sítě pro datové prostředí držitelů karet | CMA_0273 – Vytvoření segmentace sítě pro datové prostředí držitelů karet | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Identifikace a správa výměn podřízených informací | CMA_0298 – Identifikace a správa výměn informací v podřízených | Ručně, zakázáno | 1.1.0 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Internetové virtuální počítače by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače před potenciálními hrozbami tím, že omezíte přístup k nim pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Clustery Kubernetes by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování a chrání přenášená data před útoky na odposlouchávání síťových vrstev. Tato funkce je aktuálně obecně dostupná pro Kubernetes Service (AKS) a ve verzi Preview pro Kubernetes s podporou Azure Arc. Další informace najdete na stránce https://aka.ms/kubepolicydoc | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.1.0 |
| Správa přepravy aktiv | CMA_0370 – správa přepravy aktiv | Ručně, zakázáno | 1.1.0 |
| Porty pro správu virtuálních počítačů by měly být chráněné pomocí řízení přístupu k síti za běhu. | Azure Security Center bude monitorovat možný přístup podle potřeby (JIT) sítě jako doporučení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Porty pro správu by měly být na virtuálních počítačích zavřené. | Otevřené porty pro vzdálenou správu zveřejňují váš virtuální počítač na vysokou úroveň rizika z internetových útoků. Tyto útoky se pokusí hrubou silou vynutit přihlašovací údaje, aby získaly přístup správce k počítači. | AuditIfNotExists, zakázáno | 3.0.0 |
| Virtuální počítače, které nejsou přístupné z internetu, by měly být chráněné pomocí skupin zabezpečení sítě. | Chraňte své virtuální počítače, které nejsou přístupné z internetu, před potenciálními hrozbami tím, že omezíte přístup pomocí skupin zabezpečení sítě (NSG). Další informace o řízení provozu pomocí skupin zabezpečení sítě na adrese https://aka.ms/nsg-doc | AuditIfNotExists, zakázáno | 3.0.0 |
| Měla by být povolena pouze zabezpečená připojení ke službě Azure Cache for Redis. | Audit povolení pouze připojení přes PROTOKOL SSL ke službě Azure Cache for Redis Použití zabezpečených připojení zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na síťovou vrstvu, jako jsou man-in-the-middle, odposlouchávání a napadení relace | Audit, Odepřít, Zakázáno | 1.0.0 |
| Ochrana přenášených dat pomocí šifrování | CMA_0403 – Ochrana přenášených dat pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Ochrana hesel pomocí šifrování | CMA_0408 – Ochrana hesel pomocí šifrování | Ručně, zakázáno | 1.1.0 |
| Zabezpečený přenos do účtů úložiště by měl být povolený. | Požadavek na audit zabezpečeného přenosu v účtu úložiště Zabezpečený přenos je možnost, která vynutí, aby váš účet úložiště přijímal požadavky pouze ze zabezpečených připojení (HTTPS). Použití protokolu HTTPS zajišťuje ověřování mezi serverem a službou a chrání přenášená data před útoky na vrstvu sítě, jako jsou man-in-the-middle, odposlouchávání a napadení relace. | Audit, Odepřít, Zakázáno | 2.0.0 |
| Podsítě by měly být přidružené ke skupině zabezpečení sítě. | Chraňte podsíť před potenciálními hrozbami tím, že k ní omezíte přístup pomocí skupiny zabezpečení sítě (NSG). Skupiny zabezpečení sítě obsahují seznam pravidel seznamu řízení přístupu (ACL), která povolují nebo zakazují síťový provoz do vaší podsítě. | AuditIfNotExists, zakázáno | 3.0.0 |
| Počítače s Windows by měly být nakonfigurované tak, aby používaly zabezpečené komunikační protokoly. | K ochraně soukromí informací předávaných přes internet by vaše počítače měly používat nejnovější verzi standardního kryptografického protokolu TLS (Transport Layer Security). Protokol TLS zabezpečuje komunikaci přes síť šifrováním připojení mezi počítači. | AuditIfNotExists, zakázáno | 3.0.1 |
Prevence nebo detekce neoprávněného nebo škodlivého softwaru
ID: SOC 2 Typ 2 CC6.8 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. K aplikaci budou mít přístup jenom klienti s platnými certifikáty. Tuto zásadu nahradila nová zásada se stejným názvem, protože Http 2.0 nepodporuje klientské certifikáty. | Audit, zakázáno | 3.1.0 zastaralé |
| Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. | Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací ve službě Azure Security Center. Security Center pomocí strojového učení analyzuje spuštěné procesy na vašich počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace app Service by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Audit virtuálních počítačů, které nepoužívají spravované disky | Tato zásada audituje virtuální počítače, které nevyužívají spravované disky. | audit | 1.0.0 |
| Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. | Doplněk Azure Policy pro službu Kubernetes Service (AKS) rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby v clusterech použil centralizované a konzistentní zabezpečení vynucování ve velkém měřítku a bezpečnostní opatření. | Audit, zakázáno | 1.0.2 |
| Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | CMA_0050 – Blokování nedůvěryhodných a nepodepsaných procesů spuštěných z USB | Ručně, zakázáno | 1.1.0 |
| Řešení endpoint protection by mělo být nainstalované ve škálovacích sadách virtuálních počítačů. | Auditujte existenci a stav řešení ochrany koncových bodů ve škálovacích sadách virtuálních počítačů, abyste je ochránili před hrozbami a ohroženími zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.2 |
| Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 10.1.0 |
| Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele | Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.0 |
| Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.0 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 10.1.1 |
| Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.0 |
| Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.0 |
| Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.1.0 |
| Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 10.1.0 |
| Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API. | Zakažte přihlašovací údaje rozhraní API pro automatické připojování, abyste zabránili potenciálně ohroženým prostředkům podu ke spouštění příkazů rozhraní API pro clustery Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
| Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.1.0 |
| Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAP_SYS_ADMIN | Pokud chcete omezit prostor pro útoky na kontejnery, omezte CAP_SYS_ADMIN možnosti Linuxu. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.0 |
| Clustery Kubernetes by neměly používat výchozí obor názvů. | Zabránit použití výchozího oboru názvů v clusterech Kubernetes k ochraně před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
| Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 1.5.0 |
| Správa bran | CMA_0363 – Správa bran | Ručně, zakázáno | 1.1.0 |
| Monitorování chybějící služby Endpoint Protection ve službě Azure Security Center | Servery bez nainstalovaného agenta Endpoint Protection budou monitorovány službou Azure Security Center jako doporučení. | AuditIfNotExists, zakázáno | 3.1.0 |
| Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. | Tato zásada řídí rozšíření virtuálních počítačů, která nejsou schválena. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola detekce malwaru | CMA_0475 – týdenní kontrola zpráv o detekcích malwaru | Ručně, zakázáno | 1.1.0 |
| Týdenní kontrola stavu ochrany před hrozbami | CMA_0479 – týdenní kontrola stavu ochrany před hrozbami | Ručně, zakázáno | 1.1.0 |
| Účty úložiště by měly umožňovat přístup z důvěryhodných služby Microsoft | Některé služby Microsoft, které komunikují s účty úložiště, fungují ze sítí, u kterých není možné udělit přístup prostřednictvím pravidel sítě. Pokud chcete tomuto typu služby pomoct, povolte sadě důvěryhodných služby Microsoft obejít pravidla sítě. Tyto služby pak budou pro přístup k účtu úložiště používat silné ověřování. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Aktualizace definic antivirového softwaru | CMA_0517 – Aktualizace definic antivirové ochrany | Ručně, zakázáno | 1.1.0 |
| Ověření integrity softwaru, firmwaru a informací | CMA_0542 – Ověření integrity softwaru, firmwaru a informací | Ručně, zakázáno | 1.1.0 |
| Zobrazení a konfigurace diagnostických dat systému | CMA_0544 – Zobrazení a konfigurace diagnostických dat systému | Ručně, zakázáno | 1.1.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
| Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 1.0.0 |
Systémové operace
Detekce a monitorování nových ohrožení zabezpečení
ID: SOC 2 Typ 2 CC7.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Na počítačích by se měly povolit adaptivní řízení aplikací pro definování bezpečných aplikací. | Povolte řízení aplikací, abyste definovali seznam známých bezpečných aplikací spuštěných na vašich počítačích a upozorňovali vás při spuštění jiných aplikací. To pomáhá posílit zabezpečení počítačů proti malwaru. Aby se zjednodušilo proces konfigurace a údržby pravidel, Security Center pomocí strojového učení analyzuje aplikace spuštěné na každém počítači a navrhne seznam známých bezpečných aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pravidla seznamu povolených v zásadách adaptivního řízení aplikací by se měla aktualizovat. | Monitorujte změny chování ve skupinách počítačů nakonfigurovaných pro auditování adaptivními řízeními aplikací ve službě Azure Security Center. Security Center pomocí strojového učení analyzuje spuštěné procesy na vašich počítačích a navrhuje seznam známých bezpečných aplikací. Zobrazují se jako doporučené aplikace, které umožňují zásady adaptivního řízení aplikací. | AuditIfNotExists, zakázáno | 3.0.0 |
| Konfigurace akcí pro zařízení nedodržující předpisy | CMA_0062 – Konfigurace akcí pro zařízení nedodržující předpisy | Ručně, zakázáno | 1.1.0 |
| Vývoj a údržba standardních konfigurací | CMA_0153 – Vývoj a údržba standardních konfigurací | Ručně, zakázáno | 1.1.0 |
| Povolení detekce síťových zařízení | CMA_0220 – Povolení detekce síťových zařízení | Ručně, zakázáno | 1.1.0 |
| Vynucení nastavení konfigurace zabezpečení | CMA_0249 – Vynucení nastavení konfigurace zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vytvoření řídicí desky konfigurace | CMA_0254 – Vytvoření řídicí desky konfigurace | Ručně, zakázáno | 1.1.0 |
| Vytvoření a zdokumentování plánu správy konfigurace | CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace | Ručně, zakázáno | 1.1.0 |
| Implementace automatizovaného nástroje pro správu konfigurace | CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace | Ručně, zakázáno | 1.1.0 |
| Provádění kontrol ohrožení zabezpečení | CMA_0393 – Provádění kontrol ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Náprava chyb informačního systému | CMA_0427 – Náprava chyb informačního systému | Ručně, zakázáno | 1.1.0 |
| Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | CMA_0495 – Nastavení automatizovaných oznámení pro nové a populární cloudové aplikace ve vaší organizaci | Ručně, zakázáno | 1.1.0 |
| Ověření integrity softwaru, firmwaru a informací | CMA_0542 – Ověření integrity softwaru, firmwaru a informací | Ručně, zakázáno | 1.1.0 |
| Zobrazení a konfigurace diagnostických dat systému | CMA_0544 – Zobrazení a konfigurace diagnostických dat systému | Ručně, zakázáno | 1.1.0 |
| Ve službě SQL Managed Instance by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte každou spravovanou instanci SQL, která nemá povolené opakované kontroly posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 1.0.1 |
| Na sql serverech by se mělo povolit posouzení ohrožení zabezpečení. | Auditujte servery Azure SQL, které nemají správně nakonfigurované posouzení ohrožení zabezpečení. Posouzení ohrožení zabezpečení může zjišťovat, sledovat a pomáhat vám s nápravou potenciálních ohrožení zabezpečení databáze. | AuditIfNotExists, zakázáno | 3.0.0 |
Monitorování systémových komponent pro neobvyklé chování
ID: SOC 2 Typ 2 CC7.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Clustery Kubernetes s podporou Azure Arc by měly mít nainstalované rozšíření Microsoft Defender for Cloud. | Rozšíření Microsoft Defender for Cloud pro Azure Arc poskytuje ochranu před hrozbami pro clustery Kubernetes s podporou Arc. Rozšíření shromažďuje data ze všech uzlů v clusteru a odesílá je do back-endu Azure Defenderu for Kubernetes v cloudu za účelem další analýzy. Další informace najdete v článku https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, zakázáno | 4.0.1-preview |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní Správa istrativní operace. | Tato zásada audituje konkrétní Správa istrativní operace bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Upozornění protokolu aktivit by mělo existovat pro konkrétní operace zásad. | Tato zásada audituje konkrétní operace zásad bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 3.0.0 |
| Pro konkrétní operace zabezpečení by mělo existovat upozornění protokolu aktivit. | Tato zásada audituje konkrétní operace zabezpečení bez nakonfigurovaných upozornění protokolu aktivit. | AuditIfNotExists, zakázáno | 1.0.0 |
| Servery Azure Defenderu pro Azure SQL Database by měly být povolené. | Azure Defender for SQL poskytuje funkce pro zpřístupnění a zmírnění potenciálních ohrožení zabezpečení databáze, detekci neobvyklých aktivit, které by mohly značit hrozby pro databáze SQL a zjišťování a klasifikaci citlivých dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Azure Defender for Resource Manager by měl být povolený. | Azure Defender for Resource Manager automaticky monitoruje operace správy prostředků ve vaší organizaci. Azure Defender detekuje hrozby a upozorní vás na podezřelou aktivitu. Přečtěte si další informace o možnostech Azure Defenderu pro Resource Manager na adrese https://aka.ms/defender-for-resource-manager . Povolením tohoto plánu Azure Defenderu se účtují poplatky. Další informace o cenách v jednotlivých oblastech najdete na stránce s cenami služby Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Azure Defender pro servery. | Azure Defender pro servery poskytuje ochranu před hrozbami v reálném čase pro úlohy serveru a generuje doporučení pro posílení zabezpečení a také výstrahy týkající se podezřelých aktivit. | AuditIfNotExists, zakázáno | 1.0.3 |
| Azure Defender pro SQL by měl být povolený pro nechráněné servery Azure SQL. | Audit sql serverů bez rozšířeného zabezpečení dat | AuditIfNotExists, zakázáno | 2.0.1 |
| Azure Defender pro SQL by měl být povolený pro nechráněné spravované instance SQL. | Auditujte každou spravovanou instanci SQL bez pokročilého zabezpečení dat. | AuditIfNotExists, zakázáno | 1.0.2 |
| Zjištění síťových služeb, které nebyly autorizované nebo schválené | CMA_C1700 – Detekce síťových služeb, které nejsou autorizované nebo schválené | Ručně, zakázáno | 1.1.0 |
| Řízení a monitorování aktivit zpracování auditu | CMA_0289 – Řízení a monitorování aktivit zpracování auditu | Ručně, zakázáno | 1.1.0 |
| Měla by být povolená služba Microsoft Defender for Containers. | Microsoft Defender for Containers poskytuje posílení zabezpečení, posouzení ohrožení zabezpečení a ochranu za běhu pro vaše prostředí Kubernetes v Azure, hybridním a multicloudových prostředích Kubernetes. | AuditIfNotExists, zakázáno | 1.0.0 |
| Měla by být povolená služba Microsoft Defender for Storage (Classic). | Microsoft Defender for Storage (Classic) poskytuje detekce neobvyklých a potenciálně škodlivých pokusů o přístup k účtům úložiště nebo jejich zneužití. | AuditIfNotExists, zakázáno | 1.0.4 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Ochrana Exploit Guard v programu Windows Defender by měla být na vašich počítačích povolená. | Ochrana Exploit Guard v programu Windows Defender používá agenta konfigurace hosta služby Azure Policy. Exploit Guard má čtyři komponenty, které jsou navržené tak, aby zamkly zařízení proti široké škále vektorů útoku a blokovaly chování běžně používané při malwarových útocích a současně umožňují podnikům vyvážit bezpečnostní riziko a požadavky na produktivitu (jenom Windows). | AuditIfNotExists, zakázáno | 1.1.1 |
Detekce incidentů zabezpečení
ID: SOC 2 Typ 2 CC7.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Kontrola a aktualizace zásad a postupů reakce na incidenty | CMA_C1352 – Kontrola a aktualizace zásad a postupů reakce na incidenty | Ručně, zakázáno | 1.1.0 |
Reakce na incidenty zabezpečení
ID: SOC 2 Typ 2 CC7.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Posouzení událostí zabezpečení informací | CMA_0013 – Posouzení událostí zabezpečení informací | Ručně, zakázáno | 1.1.0 |
| Koordinace plánů nepředvídaných událostí se souvisejícími plány | CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Vývoj bezpečnostních opatření | CMA_0161 – Vývoj bezpečnostních opatření | Ručně, zakázáno | 1.1.0 |
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.0.0 |
| Povolení ochrany sítě | CMA_0238 – Povolení ochrany sítě | Ručně, zakázáno | 1.1.0 |
| Vymýcení kontaminovaných informací | CMA_0253 - Eradikát kontaminovaných informací | Ručně, zakázáno | 1.1.0 |
| Provádění akcí v reakci na přelití informací | CMA_0281 – Provádění akcí v reakci na přelití informací | Ručně, zakázáno | 1.1.0 |
| Identifikace tříd incidentů a provedených akcí | CMA_C1365 – identifikace tříd incidentů a provedených akcí | Ručně, zakázáno | 1.1.0 |
| Implementace zpracování incidentů | CMA_0318 – Implementace zpracování incidentů | Ručně, zakázáno | 1.1.0 |
| Zahrnutí dynamické změny konfigurace prostředků nasazených zákazníkem | CMA_C1364 – Zahrnutí dynamické změny konfigurace prostředků nasazených zákazníkem | Ručně, zakázáno | 1.1.0 |
| Údržba plánu reakce na incidenty | CMA_0352 – Údržba plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
| Zobrazení a prošetření omezených uživatelů | CMA_0545 – Zobrazení a prošetření omezených uživatelů | Ručně, zakázáno | 1.1.0 |
Zotavení z identifikovaných incidentů zabezpečení
ID: SOC 2 Typ 2 CC7.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Posouzení událostí zabezpečení informací | CMA_0013 – Posouzení událostí zabezpečení informací | Ručně, zakázáno | 1.1.0 |
| Testování reakce na incidenty | CMA_0060 – Provedení testování reakcí na incidenty | Ručně, zakázáno | 1.1.0 |
| Koordinace plánů nepředvídaných událostí se souvisejícími plány | CMA_0086 – koordinace plánů nepředvídaných událostí se souvisejícími plány | Ručně, zakázáno | 1.1.0 |
| Koordinace s externími organizacemi za účelem dosažení perspektivy mezi organizacemi | CMA_C1368 – koordinace s externími organizacemi za účelem dosažení perspektivy mezi organizacemi | Ručně, zakázáno | 1.1.0 |
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Vývoj bezpečnostních opatření | CMA_0161 – Vývoj bezpečnostních opatření | Ručně, zakázáno | 1.1.0 |
| E-mailové oznámení pro upozornění s vysokou závažností by mělo být povolené. | Pokud chcete zajistit, aby relevantní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, povolte e-mailová oznámení pro výstrahy s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
| E-mailové oznámení vlastníkovi předplatného pro upozornění s vysokou závažností by mělo být povoleno. | Pokud chcete zajistit, aby vlastníci předplatného dostávali oznámení o potenciálním narušení zabezpečení ve svém předplatném, nastavte pro vlastníky e-mailů upozornění s vysokou závažností ve službě Security Center. | AuditIfNotExists, zakázáno | 2.0.0 |
| Povolení ochrany sítě | CMA_0238 – Povolení ochrany sítě | Ručně, zakázáno | 1.1.0 |
| Vymýcení kontaminovaných informací | CMA_0253 - Eradikát kontaminovaných informací | Ručně, zakázáno | 1.1.0 |
| Vytvoření programu zabezpečení informací | CMA_0263 – Vytvoření programu zabezpečení informací | Ručně, zakázáno | 1.1.0 |
| Provádění akcí v reakci na přelití informací | CMA_0281 – Provádění akcí v reakci na přelití informací | Ručně, zakázáno | 1.1.0 |
| Implementace zpracování incidentů | CMA_0318 – Implementace zpracování incidentů | Ručně, zakázáno | 1.1.0 |
| Údržba plánu reakce na incidenty | CMA_0352 – Údržba plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Služba Network Watcher by měla být povolená. | Network Watcher je regionální služba, která umožňuje monitorovat a diagnostikovat podmínky na úrovni scénáře sítě v Azure a z Azure. Monitorování na úrovni scénáře umožňuje diagnostikovat problémy na úrovni sítě na konci až do zobrazení na úrovni sítě. Je nutné mít skupinu prostředků sledovacího nástroje sítě, která se má vytvořit v každé oblasti, kde je virtuální síť přítomná. Výstraha je povolená, pokud skupina prostředků sledovacího prostředí sítě není v konkrétní oblasti dostupná. | AuditIfNotExists, zakázáno | 3.0.0 |
| Provedení analýzy trendu u hrozeb | CMA_0389 – provedení analýzy trendů u hrozeb | Ručně, zakázáno | 1.1.0 |
| Spuštění útoků simulace | CMA_0486 – Spuštění útoků simulace | Ručně, zakázáno | 1.1.0 |
| Předplatná by měla mít kontaktní e-mailovou adresu pro problémy se zabezpečením | Pokud chcete zajistit, aby příslušní lidé ve vaší organizaci byli upozorněni, když dojde k potenciálnímu narušení zabezpečení v jednom z vašich předplatných, nastavte bezpečnostní kontakt pro příjem e-mailových oznámení ze služby Security Center. | AuditIfNotExists, zakázáno | 1.0.1 |
| Zobrazení a prošetření omezených uživatelů | CMA_0545 – Zobrazení a prošetření omezených uživatelů | Ručně, zakázáno | 1.1.0 |
Správa změn
Změny infrastruktury, dat a softwaru
ID: SOC 2 Typ 2 CC8.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Zastaralé]: Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. K aplikaci budou mít přístup jenom klienti s platnými certifikáty. Tuto zásadu nahradila nová zásada se stejným názvem, protože Http 2.0 nepodporuje klientské certifikáty. | Audit, zakázáno | 3.1.0 zastaralé |
| Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace app Service by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Audit virtuálních počítačů, které nepoužívají spravované disky | Tato zásada audituje virtuální počítače, které nevyužívají spravované disky. | audit | 1.0.0 |
| Doplněk Azure Policy pro službu Kubernetes Service (AKS) by se měl nainstalovat a povolit ve vašich clusterech. | Doplněk Azure Policy pro službu Kubernetes Service (AKS) rozšiřuje Gatekeeper v3, webhook kontroleru přístupu pro open policy agenta (OPA), aby v clusterech použil centralizované a konzistentní zabezpečení vynucování ve velkém měřítku a bezpečnostní opatření. | Audit, zakázáno | 1.0.2 |
| Analýza dopadu na zabezpečení | CMA_0057 – Provedení analýzy dopadu na zabezpečení | Ručně, zakázáno | 1.1.0 |
| Konfigurace akcí pro zařízení nedodržující předpisy | CMA_0062 – Konfigurace akcí pro zařízení nedodržující předpisy | Ručně, zakázáno | 1.1.0 |
| Vývoj a údržba standardu správa ohrožení zabezpečení | CMA_0152 – vývoj a údržba standardu správa ohrožení zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vývoj a údržba standardních konfigurací | CMA_0153 – Vývoj a údržba standardních konfigurací | Ručně, zakázáno | 1.1.0 |
| Vynucení nastavení konfigurace zabezpečení | CMA_0249 – Vynucení nastavení konfigurace zabezpečení | Ručně, zakázáno | 1.1.0 |
| Vytvoření řídicí desky konfigurace | CMA_0254 – Vytvoření řídicí desky konfigurace | Ručně, zakázáno | 1.1.0 |
| Vytvoření strategie řízení rizik | CMA_0258 – Vytvoření strategie řízení rizik | Ručně, zakázáno | 1.1.0 |
| Vytvoření a zdokumentování plánu správy konfigurace | CMA_0264 – Vytvoření a zdokumentování plánu správy konfigurace | Ručně, zakázáno | 1.1.0 |
| Vytvoření a řízení změn dokumentů | CMA_0265 – vytvoření a řízení změn dokumentů | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na správu konfigurace pro vývojáře | CMA_0270 – Vytvoření požadavků na správu konfigurace pro vývojáře | Ručně, zakázáno | 1.1.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Rozšíření konfigurace hosta by mělo být nainstalované na vašich počítačích. | Pokud chcete zajistit zabezpečené konfigurace nastavení v hostu vašeho počítače, nainstalujte rozšíření Konfigurace hosta. Nastavení v hostu, která monitoruje rozšíření, zahrnují konfiguraci operačního systému, konfigurace aplikace nebo stavu a nastavení prostředí. Po instalaci budou zásady v hostovi k dispozici, například ochrana Windows Exploit Guard by měla být povolená. Další informace najdete na adrese https://aka.ms/gcpol. | AuditIfNotExists, zakázáno | 1.0.2 |
| Implementace automatizovaného nástroje pro správu konfigurace | CMA_0311 – Implementace automatizovaného nástroje pro správu konfigurace | Ručně, zakázáno | 1.1.0 |
| Omezení prostředků procesoru a paměti kontejnerů clusteru Kubernetes by neměla překročit zadaná omezení. | Vynucujte omezení prostředků procesoru a paměti kontejneru, abyste zabránili útokům na vyčerpání prostředků v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 10.1.0 |
| Kontejnery clusteru Kubernetes by neměly sdílet ID procesu hostitele ani obor názvů IPC hostitele | Zablokujte kontejnery podů sdílení oboru názvů ID procesu hostitele a oboru názvů IPC hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.2 a CIS 5.2.3, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.0 |
| Kontejnery clusteru Kubernetes by měly používat pouze povolené profily AppArmor. | Kontejnery by měly používat pouze povolené profily AppArmor v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené funkce. | Omezte možnosti pro omezení prostoru pro útoky na kontejnery v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.8 a CIS 5.2.9, které mají zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.0 |
| Kontejnery clusteru Kubernetes by měly používat jenom povolené image. | Pomocí imagí z důvěryhodných registrů můžete snížit riziko vystavení clusteru Kubernetes neznámým ohrožením zabezpečení, problémům se zabezpečením a škodlivým imagím. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 10.1.1 |
| Kontejnery clusteru Kubernetes by se měly spouštět v kořenovém systému souborů jen pro čtení. | Spouštění kontejnerů s kořenovým systémem souborů jen pro čtení za účelem ochrany před změnami za běhu pomocí škodlivých binárních souborů přidaných do PATH v clusteru Kubernetes Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.0 |
| Svazky hostitelů podů clusteru Kubernetes by měly používat pouze povolené cesty k hostitelům. | Omezte připojení svazku HostPath podu k povoleným hostitelským cestám v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a Kubernetes s podporou Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Pody a kontejnery clusteru Kubernetes by se měly spouštět jenom se schválenými ID uživatelů a skupin. | Řídí uživatele, primární skupinu, doplňkové skupiny a ID skupin systému souborů, které můžou pody a kontejnery používat ke spuštění v clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.1 |
| Pody clusteru Kubernetes by měly používat jenom schválené hostitelské sítě a rozsah portů. | Omezte přístup podů k hostitelské síti a rozsah povolených portů hostitele v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.4, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 7.1.0 |
| Clusterové služby Kubernetes by měly naslouchat jenom na povolených portech. | Omezte služby tak, aby naslouchaly jenom na povolených portech pro zabezpečení přístupu ke clusteru Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 9.1.0 |
| Cluster Kubernetes by neměl umožňovat privilegované kontejnery. | Nepovolujte vytváření privilegovaných kontejnerů v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.1, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 10.1.0 |
| Clustery Kubernetes by měly zakázat automatické připojování přihlašovacích údajů rozhraní API. | Zakažte přihlašovací údaje rozhraní API pro automatické připojování, abyste zabránili potenciálně ohroženým prostředkům podu ke spouštění příkazů rozhraní API pro clustery Kubernetes. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
| Clustery Kubernetes by neměly umožňovat eskalaci oprávnění kontejneru. | Nepovolujte spouštění kontejnerů s eskalací oprávnění do kořenového adresáře v clusteru Kubernetes. Toto doporučení je součástí CIS 5.2.5, které má zlepšit zabezpečení prostředí Kubernetes. Tyto zásady jsou obecně dostupné pro Kubernetes Service (AKS) a verze Preview pro Kubernetes s podporou Služby Azure Arc. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 8.1.0 |
| Clustery Kubernetes by neměly udělovat možnosti zabezpečení CAP_SYS_ADMIN | Pokud chcete omezit prostor pro útoky na kontejnery, omezte CAP_SYS_ADMIN možnosti Linuxu. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 6.1.0 |
| Clustery Kubernetes by neměly používat výchozí obor názvů. | Zabránit použití výchozího oboru názvů v clusterech Kubernetes k ochraně před neoprávněným přístupem pro typy prostředků ConfigMap, Pod, Secret, Service a ServiceAccount. Další informace najdete na webu https://aka.ms/kubepolicydoc. | audit, Audit, Odepřít, Odepřít, Zakázáno, Zakázáno | 5.1.0 |
| Počítače s Linuxem by měly splňovat požadavky na standardní hodnoty zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 1.5.0 |
| Nainstalovat by se měla jenom schválená rozšíření virtuálních počítačů. | Tato zásada řídí rozšíření virtuálních počítačů, která nejsou schválena. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Posouzení dopadu ochrany osobních údajů | CMA_0387 – provedení posouzení dopadu ochrany osobních údajů | Ručně, zakázáno | 1.1.0 |
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
| Provedení auditu pro řízení změn konfigurace | CMA_0390 – provedení auditu řízení změn konfigurace | Ručně, zakázáno | 1.1.0 |
| Účty úložiště by měly umožňovat přístup z důvěryhodných služby Microsoft | Některé služby Microsoft, které komunikují s účty úložiště, fungují ze sítí, u kterých není možné udělit přístup prostřednictvím pravidel sítě. Pokud chcete tomuto typu služby pomoct, povolte sadě důvěryhodných služby Microsoft obejít pravidla sítě. Tyto služby pak budou pro přístup k účtu úložiště používat silné ověřování. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Rozšíření Konfigurace hosta virtuálních počítačů by se mělo nasadit se spravovanou identitou přiřazenou systémem. | Rozšíření Konfigurace hosta vyžaduje spravovanou identitu přiřazenou systémem. Virtuální počítače Azure v oboru této zásady nebudou kompatibilní, pokud mají nainstalované rozšíření Konfigurace hosta, ale nemají spravovanou identitu přiřazenou systémem. Další informace najdete na adrese https://aka.ms/gcpol | AuditIfNotExists, zakázáno | 1.0.1 |
| Počítače s Windows by měly splňovat požadavky standardních hodnot zabezpečení výpočetních prostředků Azure. | Vyžaduje, aby byly požadavky nasazené do oboru přiřazení zásad. Podrobnosti najdete na adrese https://aka.ms/gcpol. Počítače nedodržují předpisy, pokud počítač není správně nakonfigurovaný pro jedno z doporučení ve standardních hodnotách zabezpečení výpočetních prostředků Azure. | AuditIfNotExists, zakázáno | 1.0.0 |
Zmírnění rizik
Aktivity zmírnění rizik
ID: SOC 2 Typ 2 CC9.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Určení potřeb ochrany informací | CMA_C1750 – Určení potřeb ochrany informací | Ručně, zakázáno | 1.1.0 |
| Vytvoření strategie řízení rizik | CMA_0258 – Vytvoření strategie řízení rizik | Ručně, zakázáno | 1.1.0 |
| Provedení posouzení rizik | CMA_0388 – provedení posouzení rizik | Ručně, zakázáno | 1.1.0 |
Správa rizik dodavatelů a obchodních partnerů
ID: SOC 2 Typ 2 CC9.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Posouzení rizika v relacích třetích stran | CMA_0014 – Posouzení rizika v relacích třetích stran | Ručně, zakázáno | 1.1.0 |
| Definování požadavků na dodávky zboží a služeb | CMA_0126 – Definování požadavků na dodávky zboží a služeb | Ručně, zakázáno | 1.1.0 |
| Definování povinností zpracovatelů | CMA_0127 – definování povinností zpracovatelů | Ručně, zakázáno | 1.1.0 |
| Určení závazků dodavatelů | CMA_0140 – Určení závazků dodavatelů | Ručně, zakázáno | 1.1.0 |
| Kritéria přijetí smlouvy o pořízení dokumentu | CMA_0187 – Kritéria přijetí smlouvy o pořízení dokumentu | Ručně, zakázáno | 1.1.0 |
| Ochrana osobních údajů v kupních smlouvách | CMA_0194 - Ochrana osobních údajů v kupních smlouvách | Ručně, zakázáno | 1.1.0 |
| Ochrana informací o zabezpečení ve smlouvách o pořízení | CMA_0195 – ochrana bezpečnostních údajů v kupních smlouvách | Ručně, zakázáno | 1.1.0 |
| Požadavky na dokument pro použití sdílených dat v kontraktech | CMA_0197 – požadavky na dokument pro použití sdílených dat ve smlouvách | Ručně, zakázáno | 1.1.0 |
| Zdokumentování požadavků na záruku zabezpečení v kupních smlouvách | CMA_0199 – Zdokumentování požadavků na záruku zabezpečení v rámci kupních smluv | Ručně, zakázáno | 1.1.0 |
| Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání | CMA_0200 – Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání | Ručně, zakázáno | 1.1.0 |
| Zdokumentování funkčních požadavků na zabezpečení ve smlouvách o získání | CMA_0201 – Zdokumentování požadavků na funkčnost zabezpečení ve smlouvách o získání | Ručně, zakázáno | 1.1.0 |
| Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách | CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv | Ručně, zakázáno | 1.1.0 |
| Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích. | CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení | Ručně, zakázáno | 1.1.0 |
| Zdokumentujte ochranu údajů o držitelích karet ve smlouvách třetích stran. | CMA_0207 - Zdokumentujte ochranu údajů držitelů karet ve smlouvách třetích stran. | Ručně, zakázáno | 1.1.0 |
| Stanovení zásad pro řízení rizik dodavatelského řetězce | CMA_0275 – Vytvoření zásad pro řízení rizik dodavatelského řetězce | Ručně, zakázáno | 1.1.0 |
| Vytvoření požadavků na zabezpečení pracovníků třetích stran | CMA_C1529 – Vytvoření požadavků na zabezpečení pracovníků třetích stran | Ručně, zakázáno | 1.1.0 |
| Monitorování dodržování předpisů poskytovatele třetích stran | CMA_C1533 – Monitorování dodržování předpisů poskytovatelů třetích stran | Ručně, zakázáno | 1.1.0 |
| Zaznamenávání zpřístupnění osobních údajů třetím stranám | CMA_0422 - Zaznamenávání zpřístupnění osobních údajů třetím stranám | Ručně, zakázáno | 1.1.0 |
| Vyžadovat, aby poskytovatelé třetích stran dodržovali zásady a postupy zabezpečení pracovníků. | CMA_C1530 – Vyžadovat, aby poskytovatelé třetích stran dodržovali zásady a postupy zabezpečení pracovníků | Ručně, zakázáno | 1.1.0 |
| Vyškolit zaměstnance na sdílení piI a jeho důsledky | CMA_C1871 – trénuje pracovníky na sdílení piI a jeho důsledky | Ručně, zakázáno | 1.1.0 |
Další kritéria pro ochranu osobních údajů
Oznámení o ochraně osobních údajů
ID: SOC 2 Typ 2 P1.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Dokumentovat a distribuovat zásady ochrany osobních údajů | CMA_0188 – Dokumentujte a distribuujte zásady ochrany osobních údajů | Ručně, zakázáno | 1.1.0 |
| Ujistěte se, že jsou veřejně dostupné informace o programu ochrany osobních údajů. | CMA_C1867 – Zajištění veřejného zpřístupnění informací o programu ochrany osobních údajů | Ručně, zakázáno | 1.1.0 |
| Implementace metod doručování oznámení o ochraně osobních údajů | CMA_0324 – Implementace metod doručování oznámení o ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Uveďte oznámení o ochraně osobních údajů. | CMA_0414 – Uveďte oznámení o ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Poskytnutí oznámení o ochraně osobních údajů veřejnosti a jednotlivcům | CMA_C1861 – poskytnutí oznámení o ochraně osobních údajů veřejnosti a jednotlivcům | Ručně, zakázáno | 1.1.0 |
Souhlas s ochranou osobních údajů
ID: SOC 2 Typ 2 P2.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentování přijetí požadavků na ochranu osobních údajů | CMA_0193 – zdokumentování přijetí požadavků na ochranu osobních údajů pracovníky | Ručně, zakázáno | 1.1.0 |
| Implementace metod doručování oznámení o ochraně osobních údajů | CMA_0324 – Implementace metod doručování oznámení o ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Získání souhlasu před shromažďováním nebo zpracováním osobních údajů | CMA_0385 - Získání souhlasu před shromažďováním nebo zpracováním osobních údajů | Ručně, zakázáno | 1.1.0 |
| Uveďte oznámení o ochraně osobních údajů. | CMA_0414 – Uveďte oznámení o ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
Konzistentní shromažďování osobních údajů
ID: SOC 2 Typ 2 P3.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Určení právního orgánu ke shromažďování PII | CMA_C1800 – určení právního orgánu pro shromažďování osobních údajů | Ručně, zakázáno | 1.1.0 |
| Proces dokumentu pro zajištění integrity PII | CMA_C1827 – proces dokumentů pro zajištění integrity PII | Ručně, zakázáno | 1.1.0 |
| Pravidelně vyhodnocovat a kontrolovat podíly v piI | CMA_C1832 – pravidelně vyhodnocujte a kontrolujte podniky s piI | Ručně, zakázáno | 1.1.0 |
| Získání souhlasu před shromažďováním nebo zpracováním osobních údajů | CMA_0385 - Získání souhlasu před shromažďováním nebo zpracováním osobních údajů | Ručně, zakázáno | 1.1.0 |
Výslovný souhlas s osobními údaji
ID: SOC 2 Typ 2 P3.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Shromážděte PII přímo od jednotlivce. | CMA_C1822 – shromážděte piI přímo od jednotlivce. | Ručně, zakázáno | 1.1.0 |
| Získání souhlasu před shromažďováním nebo zpracováním osobních údajů | CMA_0385 - Získání souhlasu před shromažďováním nebo zpracováním osobních údajů | Ručně, zakázáno | 1.1.0 |
Použití osobních údajů
ID: SOC 2 Typ 2 P4.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentujte právní základ pro zpracování osobních údajů. | CMA_0206 - Zdokumentujte právní základ pro zpracování osobních údajů | Ručně, zakázáno | 1.1.0 |
| Implementace metod doručování oznámení o ochraně osobních údajů | CMA_0324 – Implementace metod doručování oznámení o ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Získání souhlasu před shromažďováním nebo zpracováním osobních údajů | CMA_0385 - Získání souhlasu před shromažďováním nebo zpracováním osobních údajů | Ručně, zakázáno | 1.1.0 |
| Uveďte oznámení o ochraně osobních údajů. | CMA_0414 – Uveďte oznámení o ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Omezení komunikace | CMA_0449 – Omezení komunikace | Ručně, zakázáno | 1.1.0 |
Uchovávání osobních údajů
ID: SOC 2 Typ 2 P4.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Dodržování definovaných období uchovávání | CMA_0004 – dodržování definovaných období uchovávání | Ručně, zakázáno | 1.1.0 |
| Proces dokumentu pro zajištění integrity PII | CMA_C1827 – proces dokumentů pro zajištění integrity PII | Ručně, zakázáno | 1.1.0 |
Vyřazení osobních údajů
ID: SOC 2 Typ 2 P4.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Provedení kontroly dispozice | CMA_0391 – provedení kontroly dispozice | Ručně, zakázáno | 1.1.0 |
| Ověření odstranění osobních údajů na konci zpracování | CMA_0540 – Ověření odstranění osobních údajů na konci zpracování | Ručně, zakázáno | 1.1.0 |
Přístup k osobním údajům
ID: SOC 2 Typ 2 P5.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace metod pro požadavky příjemců | CMA_0319 – Implementace metod pro požadavky příjemců | Ručně, zakázáno | 1.1.0 |
| Publikování pravidel a předpisů při přístupu k záznamům zákona o ochraně osobních údajů | CMA_C1847 – Publikování pravidel a předpisů při přístupu k záznamům Zákona o ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
Oprava osobních údajů
ID: SOC 2 Typ 2 P5.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Reakce na žádosti o opravu | CMA_0442 – reakce na žádosti o opravu | Ručně, zakázáno | 1.1.0 |
Zpřístupnění osobních údajů třetích stran
ID: SOC 2 Typ 2 P6.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování povinností zpracovatelů | CMA_0127 – definování povinností zpracovatelů | Ručně, zakázáno | 1.1.0 |
| Určení závazků dodavatelů | CMA_0140 – Určení závazků dodavatelů | Ručně, zakázáno | 1.1.0 |
| Kritéria přijetí smlouvy o pořízení dokumentu | CMA_0187 – Kritéria přijetí smlouvy o pořízení dokumentu | Ručně, zakázáno | 1.1.0 |
| Ochrana osobních údajů v kupních smlouvách | CMA_0194 - Ochrana osobních údajů v kupních smlouvách | Ručně, zakázáno | 1.1.0 |
| Ochrana informací o zabezpečení ve smlouvách o pořízení | CMA_0195 – ochrana bezpečnostních údajů v kupních smlouvách | Ručně, zakázáno | 1.1.0 |
| Požadavky na dokument pro použití sdílených dat v kontraktech | CMA_0197 – požadavky na dokument pro použití sdílených dat ve smlouvách | Ručně, zakázáno | 1.1.0 |
| Zdokumentování požadavků na záruku zabezpečení v kupních smlouvách | CMA_0199 – Zdokumentování požadavků na záruku zabezpečení v rámci kupních smluv | Ručně, zakázáno | 1.1.0 |
| Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání | CMA_0200 – Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání | Ručně, zakázáno | 1.1.0 |
| Zdokumentování funkčních požadavků na zabezpečení ve smlouvách o získání | CMA_0201 – Zdokumentování požadavků na funkčnost zabezpečení ve smlouvách o získání | Ručně, zakázáno | 1.1.0 |
| Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách | CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv | Ručně, zakázáno | 1.1.0 |
| Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích. | CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení | Ručně, zakázáno | 1.1.0 |
| Zdokumentujte ochranu údajů o držitelích karet ve smlouvách třetích stran. | CMA_0207 - Zdokumentujte ochranu údajů držitelů karet ve smlouvách třetích stran. | Ručně, zakázáno | 1.1.0 |
| Stanovení požadavků na ochranu osobních údajů pro dodavatele a poskytovatele služeb | CMA_C1810 – Stanovení požadavků na ochranu osobních údajů pro dodavatele a poskytovatele služeb | Ručně, zakázáno | 1.1.0 |
| Zaznamenávání zpřístupnění osobních údajů třetím stranám | CMA_0422 - Zaznamenávání zpřístupnění osobních údajů třetím stranám | Ručně, zakázáno | 1.1.0 |
| Vyškolit zaměstnance na sdílení piI a jeho důsledky | CMA_C1871 – trénuje pracovníky na sdílení piI a jeho důsledky | Ručně, zakázáno | 1.1.0 |
Autorizované zpřístupnění záznamu osobních údajů
ID: SOC 2 Typ 2 P6.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Udržování přesného účetnictví zpřístupnění informací | CMA_C1818 – udržování přesného účetnictví zpřístupnění informací | Ručně, zakázáno | 1.1.0 |
Neoprávněné zpřístupnění záznamu osobních údajů
ID: SOC 2 Typ 2 P6.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Udržování přesného účetnictví zpřístupnění informací | CMA_C1818 – udržování přesného účetnictví zpřístupnění informací | Ručně, zakázáno | 1.1.0 |
Smlouvy třetích stran
ID: SOC 2 Typ 2 P6.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Definování povinností zpracovatelů | CMA_0127 – definování povinností zpracovatelů | Ručně, zakázáno | 1.1.0 |
Oznámení o neoprávněném zpřístupnění třetí strany
ID: SOC 2 Typ 2 P6.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Určení závazků dodavatelů | CMA_0140 – Určení závazků dodavatelů | Ručně, zakázáno | 1.1.0 |
| Kritéria přijetí smlouvy o pořízení dokumentu | CMA_0187 – Kritéria přijetí smlouvy o pořízení dokumentu | Ručně, zakázáno | 1.1.0 |
| Ochrana osobních údajů v kupních smlouvách | CMA_0194 - Ochrana osobních údajů v kupních smlouvách | Ručně, zakázáno | 1.1.0 |
| Ochrana informací o zabezpečení ve smlouvách o pořízení | CMA_0195 – ochrana bezpečnostních údajů v kupních smlouvách | Ručně, zakázáno | 1.1.0 |
| Požadavky na dokument pro použití sdílených dat v kontraktech | CMA_0197 – požadavky na dokument pro použití sdílených dat ve smlouvách | Ručně, zakázáno | 1.1.0 |
| Zdokumentování požadavků na záruku zabezpečení v kupních smlouvách | CMA_0199 – Zdokumentování požadavků na záruku zabezpečení v rámci kupních smluv | Ručně, zakázáno | 1.1.0 |
| Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání | CMA_0200 – Dokumentovat požadavky na dokumentaci k zabezpečení ve smlouvě o získání | Ručně, zakázáno | 1.1.0 |
| Zdokumentování funkčních požadavků na zabezpečení ve smlouvách o získání | CMA_0201 – Zdokumentování požadavků na funkčnost zabezpečení ve smlouvách o získání | Ručně, zakázáno | 1.1.0 |
| Zdokumentování požadavků na sílu zabezpečení v kupních smlouvách | CMA_0203 – Zdokumentování požadavků na sílu zabezpečení v rámci kupních smluv | Ručně, zakázáno | 1.1.0 |
| Zdokumentujte prostředí informačního systému ve smlouvách o akvizicích. | CMA_0205 – Zdokumentujte prostředí informačního systému ve smlouvách o pořízení | Ručně, zakázáno | 1.1.0 |
| Zdokumentujte ochranu údajů o držitelích karet ve smlouvách třetích stran. | CMA_0207 - Zdokumentujte ochranu údajů držitelů karet ve smlouvách třetích stran. | Ručně, zakázáno | 1.1.0 |
| Zabezpečení informací a ochrana osobních údajů | CMA_0332 – Zabezpečení informací a ochrana osobních údajů | Ručně, zakázáno | 1.1.0 |
Oznámení incidentu ochrany osobních údajů
ID: SOC 2 Typ 2 P6.6 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Vývoj plánu reakce na incidenty | CMA_0145 – Vytvoření plánu reakce na incidenty | Ručně, zakázáno | 1.1.0 |
| Zabezpečení informací a ochrana osobních údajů | CMA_0332 – Zabezpečení informací a ochrana osobních údajů | Ručně, zakázáno | 1.1.0 |
Účetnictví zpřístupnění osobních údajů
ID: SOC 2 Typ 2 P6.7 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace metod doručování oznámení o ochraně osobních údajů | CMA_0324 – Implementace metod doručování oznámení o ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Udržování přesného účetnictví zpřístupnění informací | CMA_C1818 – udržování přesného účetnictví zpřístupnění informací | Ručně, zakázáno | 1.1.0 |
| Zpřístupnění zveřejnění informací na vyžádání | CMA_C1820 - Zpřístupnění účetnictví zpřístupnění informací na vyžádání | Ručně, zakázáno | 1.1.0 |
| Uveďte oznámení o ochraně osobních údajů. | CMA_0414 – Uveďte oznámení o ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Omezení komunikace | CMA_0449 – Omezení komunikace | Ručně, zakázáno | 1.1.0 |
Kvalita osobních údajů
ID: SOC 2 Typ 2 P7.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Potvrzení kvality a integrity PII | CMA_C1821 – potvrzení kvality a integrity PII | Ručně, zakázáno | 1.1.0 |
| Pokyny k vydání pro zajištění kvality a integrity dat | CMA_C1824 – Pokyny k problému pro zajištění kvality a integrity dat | Ručně, zakázáno | 1.1.0 |
| Ověření nepřesných nebo zastaralých piI | CMA_C1823 – Ověření nepřesných nebo zastaralých piI | Ručně, zakázáno | 1.1.0 |
Správa stížností na ochranu osobních údajů a správa dodržování předpisů
ID: SOC 2 Typ 2 P8.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Zdokumentujte a implementujte postupy pro stížnosti na ochranu osobních údajů | CMA_0189 – Dokumentace a implementace postupů pro stížnosti na ochranu osobních údajů | Ručně, zakázáno | 1.1.0 |
| Pravidelně vyhodnocovat a kontrolovat podíly v piI | CMA_C1832 – pravidelně vyhodnocujte a kontrolujte podniky s piI | Ručně, zakázáno | 1.1.0 |
| Zabezpečení informací a ochrana osobních údajů | CMA_0332 – Zabezpečení informací a ochrana osobních údajů | Ručně, zakázáno | 1.1.0 |
| Reakce na stížnosti, obavy nebo dotazy včas | CMA_C1853 – reakce na stížnosti, obavy nebo dotazy včas | Ručně, zakázáno | 1.1.0 |
| Vyškolit zaměstnance na sdílení piI a jeho důsledky | CMA_C1871 – trénuje pracovníky na sdílení piI a jeho důsledky | Ručně, zakázáno | 1.1.0 |
Další kritéria pro integritu zpracování
Definice zpracování dat
ID: SOC 2 Typ 2 PI1.1 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Implementace metod doručování oznámení o ochraně osobních údajů | CMA_0324 – Implementace metod doručování oznámení o ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Uveďte oznámení o ochraně osobních údajů. | CMA_0414 – Uveďte oznámení o ochraně osobních údajů | Ručně, zakázáno | 1.1.0 |
| Omezení komunikace | CMA_0449 – Omezení komunikace | Ručně, zakázáno | 1.1.0 |
Systémové vstupy nad úplností a přesností
ID: SOC 2 Typ 2 PI1.2 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Ověření vstupu informací | CMA_C1723 – provedení ověření vstupu informací | Ručně, zakázáno | 1.1.0 |
Zpracování systému
ID: SOC 2 Type 2 PI1.3 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
| Generování chybových zpráv | CMA_C1724 – Generování chybových zpráv | Ručně, zakázáno | 1.1.0 |
| Správa vstupu, výstupu, zpracování a ukládání dat | CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat | Ručně, zakázáno | 1.1.0 |
| Ověření vstupu informací | CMA_C1723 – provedení ověření vstupu informací | Ručně, zakázáno | 1.1.0 |
| Kontrola aktivity a analýzy popisků | CMA_0474 – Kontrola aktivit a analýz popisků | Ručně, zakázáno | 1.1.0 |
Výstup systému je úplný, přesný a včasný
ID: SOC 2 Typ 2 PI1.4 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
| Správa vstupu, výstupu, zpracování a ukládání dat | CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat | Ručně, zakázáno | 1.1.0 |
| Kontrola aktivity a analýzy popisků | CMA_0474 – Kontrola aktivit a analýz popisků | Ručně, zakázáno | 1.1.0 |
Úplné, přesné a včasné ukládání vstupů a výstupů
ID: SOC 2 Typ 2 PI1.5 Vlastnictví: Sdílené
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| Pro virtuální počítače by měla být povolená služba Azure Backup. | Zajistěte ochranu virtuálních počítačů Azure povolením služby Azure Backup. Azure Backup je bezpečné a nákladově efektivní řešení ochrany dat pro Azure. | AuditIfNotExists, zakázáno | 3.0.0 |
| Řízení fyzického přístupu | CMA_0081 – řízení fyzického přístupu | Ručně, zakázáno | 1.1.0 |
| Vytvoření zásad a postupů zálohování | CMA_0268 – Vytvoření zásad a postupů zálohování | Ručně, zakázáno | 1.1.0 |
| Pro Azure Database for MariaDB by se mělo povolit geograficky redundantní zálohování. | Azure Database for MariaDB umožňuje zvolit možnost redundance databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Geograficky redundantní zálohování by mělo být povolené pro Službu Azure Database for MySQL. | Azure Database for MySQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Pro Azure Database for PostgreSQL by se mělo povolit geograficky redundantní zálohování. | Azure Database for PostgreSQL umožňuje zvolit možnost redundance vašeho databázového serveru. Dá se nastavit na geograficky redundantní úložiště zálohování, ve kterém se data neukládají jenom v rámci oblasti, ve které je váš server hostovaný, ale replikuje se také do spárované oblasti a poskytuje možnost obnovení v případě selhání oblasti. Geograficky redundantní úložiště pro zálohování je možné nakonfigurovat pouze při vytváření serveru. | Audit, zakázáno | 1.0.1 |
| Implementace ovládacích prvků pro zabezpečení všech médií | CMA_0314 – Implementace ovládacích prvků pro zabezpečení všech médií | Ručně, zakázáno | 1.1.0 |
| Správa vstupu, výstupu, zpracování a ukládání dat | CMA_0369 – Správa vstupu, výstupu, zpracování a ukládání dat | Ručně, zakázáno | 1.1.0 |
| Kontrola aktivity a analýzy popisků | CMA_0474 – Kontrola aktivit a analýz popisků | Ručně, zakázáno | 1.1.0 |
| Samostatně ukládat informace o zálohování | CMA_C1293 – Samostatně ukládat informace o zálohování | Ručně, zakázáno | 1.1.0 |
Další kroky
Další články o službě Azure Policy:
- Přehled dodržování právních předpisů
- Podívejte se na strukturu definice iniciativy.
- Projděte si další příklady v ukázkách služby Azure Policy.
- Projděte si Vysvětlení efektů zásad.
- Zjistěte, jak napravit nevyhovující prostředky.