A CIS Microsoft Azure Foundations Benchmark 1.1.0 szabályozási megfelelőség beépített kezdeményezésének részletei
Az alábbi cikk azt ismerteti, hogy az Azure Policy Regulatory Compliance beépített kezdeményezésdefiníciója hogyan képez le megfelelőségi tartományokat és -vezérlőket a CIS Microsoft Azure Foundations Benchmark 1.1.0-s teljesítménymutatójában. A megfelelőségi szabványról további információt a CIS Microsoft Azure Foundations Benchmark 1.1.0 című témakörben talál. A tulajdonjog megismeréséhez tekintse meg az Azure Policy szabályzatdefinícióját és a felhő megosztott felelősségét.
Az alábbi leképezések a CIS Microsoft Azure Foundations Benchmark 1.1.0-s vezérlőihez tartoznak . Számos vezérlő egy Azure Policy-kezdeményezési definícióval van implementálva. A kezdeményezés teljes definíciójának áttekintéséhez nyissa meg a Szabályzatot az Azure Portalon, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki a CIS Microsoft Azure Foundations Benchmark v1.1.0 szabályozási megfelelőség beépített kezdeményezési definícióját.
Fontos
Az alábbi vezérlők egy vagy több Azure Policy-definícióhoz lesznek társítva. Ezek a szabályzatok segíthetnek felmérni a vezérlőnek való megfelelőséget , azonban gyakran nem egy az egyhez vagy teljes egyezés van egy vezérlő és egy vagy több szabályzat között. Így az Azure Policy-beli megfelelőség csak magukra a szabályzatdefiníciókra vonatkozik; ez nem biztosítja, hogy teljes mértékben megfeleljen a vezérlők minden követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy-definíció sem kezel. Ezért az Azure Policy megfelelősége csak részlegesen tekinti át a teljes megfelelőségi állapotot. A megfelelőségi tartomány, a vezérlők és az Azure Policy-definíciók közötti társítások idővel változhatnak. A változáselőzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.
1 Identitás- és hozzáférés-kezelés
Győződjön meg arról, hogy a többtényezős hitelesítés minden kiemelt felhasználó számára engedélyezve van
Azonosító: CIS Microsoft Azure Foundations Benchmark recommendation 1.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Biometrikus hitelesítési mechanizmusok bevezetése | CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Felhasználók hozzáadhatnak katalógusalkalmazásokat a hozzáférési panel" beállítás értéke "Nem"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.10 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Felhasználók regisztrálhatnak alkalmazásokat" beállítás "Nem" értékre van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.11 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Vendégfelhasználói engedélyek korlátozottak" érték "Igen" értékre van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.12 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés-vezérlési modell tervezése | CMA_0129 – Hozzáférés-vezérlési modell tervezése | Manuális, Letiltva | 1.1.0 |
| Minimális jogosultsági hozzáférés alkalmazása | CMA_0212 – A legkevésbé jogosultsági hozzáférés alkalmazása | Manuális, Letiltva | 1.1.0 |
| Logikai hozzáférés kényszerítése | CMA_0245 – Logikai hozzáférés kényszerítése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| Jóváhagyás megkövetelése fióklétrehozáshoz | CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz | Manuális, Letiltva | 1.1.0 |
| Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | CMA_0481 – Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a tagok meghívhatják a "Nem" értéket.
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.13 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés-vezérlési modell tervezése | CMA_0129 – Hozzáférés-vezérlési modell tervezése | Manuális, Letiltva | 1.1.0 |
| Minimális jogosultsági hozzáférés alkalmazása | CMA_0212 – A legkevésbé jogosultsági hozzáférés alkalmazása | Manuális, Letiltva | 1.1.0 |
| Logikai hozzáférés kényszerítése | CMA_0245 – Logikai hozzáférés kényszerítése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| Jóváhagyás megkövetelése fióklétrehozáshoz | CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz | Manuális, Letiltva | 1.1.0 |
| Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | CMA_0481 – Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a vendégek meghívhatják a "Nem" értéket.
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.14 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés-vezérlési modell tervezése | CMA_0129 – Hozzáférés-vezérlési modell tervezése | Manuális, Letiltva | 1.1.0 |
| Minimális jogosultsági hozzáférés alkalmazása | CMA_0212 – A legkevésbé jogosultsági hozzáférés alkalmazása | Manuális, Letiltva | 1.1.0 |
| Logikai hozzáférés kényszerítése | CMA_0245 – Logikai hozzáférés kényszerítése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| Jóváhagyás megkövetelése fióklétrehozáshoz | CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz | Manuális, Letiltva | 1.1.0 |
| Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | CMA_0481 – Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az Azure AD felügyeleti portálhoz való hozzáférés korlátozása "Igen" értékre van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.15 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Logikai hozzáférés kényszerítése | CMA_0245 – Logikai hozzáférés kényszerítése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Jóváhagyás megkövetelése fióklétrehozáshoz | CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz | Manuális, Letiltva | 1.1.0 |
| Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | CMA_0481 – Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az "Önkiszolgáló csoportkezelés engedélyezve" értéke "Nem"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.16 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Felhasználók létrehozhatnak biztonsági csoportokat" beállítás értéke "Nem"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.17 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Felhasználók, akik kezelhetik a biztonsági csoportokat" beállítás értéke "Nincs"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.18 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Felhasználók létrehozhatják az Office 365-csoportokat" beállítás értéke "Nem"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.19 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a többtényezős hitelesítés minden nem jogosultsággal rendelkező felhasználó számára engedélyezve van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Biometrikus hitelesítési mechanizmusok bevezetése | CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az Office 365-csoportokat kezelő felhasználók "Nincs" értékre van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.20 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Többtényezős hitelesítés megkövetelése az eszközök csatlakoztatásához" beállítás értéke "Igen"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.22 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biometrikus hitelesítési mechanizmusok bevezetése | CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése | Manuális, Letiltva | 1.1.0 |
| Távelérés engedélyezése | CMA_0024 – Távelérés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Dokumentum-mobilitási képzés | CMA_0191 – Dokumentum-mobilitási képzés | Manuális, Letiltva | 1.1.0 |
| Dokumentum távelérési irányelvei | CMA_0196 – Dokumentum távelérési irányelvei | Manuális, Letiltva | 1.1.0 |
| Hálózati eszközök azonosítása és hitelesítése | CMA_0296 – Hálózati eszközök azonosítása és hitelesítése | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | CMA_0315 – Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi képzés biztosítása | CMA_0415 – Adatvédelmi képzés biztosítása | Manuális, Letiltva | 1.1.0 |
| A jogkivonatok minőségi követelményeinek kielégítése | CMA_0487 – A jogkivonatok minőségi követelményeinek kielégítése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy nincsenek egyéni előfizetés-tulajdonosi szerepkörök.
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.23 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés-vezérlési modell tervezése | CMA_0129 – Hozzáférés-vezérlési modell tervezése | Manuális, Letiltva | 1.1.0 |
| Minimális jogosultsági hozzáférés alkalmazása | CMA_0212 – A legkevésbé jogosultsági hozzáférés alkalmazása | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy nincsenek vendégfelhasználók
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Felhasználói jogosultságok újbóli hozzárendelése vagy eltávolítása szükség szerint | CMA_C1040 – Felhasználói jogosultságok szükség szerinti hozzárendelése vagy eltávolítása | Manuális, Letiltva | 1.1.0 |
| Fiókkiépítési naplók áttekintése | CMA_0460 – Fiókkiépítési naplók áttekintése | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiókok áttekintése | CMA_0480 – Felhasználói fiókok áttekintése | Manuális, Letiltva | 1.1.0 |
| Felhasználói jogosultságok áttekintése | CMA_C1039 – Felhasználói jogosultságok áttekintése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Többtényezős hitelesítés megjegyzésének engedélyezése a felhasználók számára az általuk megbízható eszközökön" "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biometrikus hitelesítési mechanizmusok bevezetése | CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése | Manuális, Letiltva | 1.1.0 |
| Hálózati eszközök azonosítása és hitelesítése | CMA_0296 – Hálózati eszközök azonosítása és hitelesítése | Manuális, Letiltva | 1.1.0 |
| A jogkivonatok minőségi követelményeinek kielégítése | CMA_0487 – A jogkivonatok minőségi követelményeinek kielégítése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy "Azon napok száma, amíg a felhasználókat a hitelesítési adatok újbóli megerősítésére kérik" érték nem "0" értékre van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.6 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fiókkezelés automatizálása | CMA_0026 – Fiókkezelés automatizálása | Manuális, Letiltva | 1.1.0 |
| Rendszer- és rendszergazdai fiókok kezelése | CMA_0368 – Rendszer- és rendszergazdai fiókok kezelése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés figyelése a szervezeten belül | CMA_0376 – Hozzáférés figyelése a szervezeten belül | Manuális, Letiltva | 1.1.0 |
| Értesítés arról, ha nincs szükség fiókra | CMA_0383 – Értesítés arról, ha nincs szükség fiókra | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy "Értesítse a felhasználókat a jelszó-visszaállításról?" "Igen" értékre van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.7 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fiókkezelés automatizálása | CMA_0026 – Fiókkezelés automatizálása | Manuális, Letiltva | 1.1.0 |
| A hitelesítők védelmére vonatkozó képzés megvalósítása | CMA_0329 – A hitelesítők védelmére vonatkozó képzés megvalósítása | Manuális, Letiltva | 1.1.0 |
| Rendszer- és rendszergazdai fiókok kezelése | CMA_0368 – Rendszer- és rendszergazdai fiókok kezelése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés figyelése a szervezeten belül | CMA_0376 – Hozzáférés figyelése a szervezeten belül | Manuális, Letiltva | 1.1.0 |
| Értesítés arról, ha nincs szükség fiókra | CMA_0383 – Értesítés arról, ha nincs szükség fiókra | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy "Értesítse az összes rendszergazdát, ha más rendszergazdák visszaállítják a jelszavukat?" "Igen" értékre van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.8 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Fiókkezelés automatizálása | CMA_0026 – Fiókkezelés automatizálása | Manuális, Letiltva | 1.1.0 |
| A hitelesítők védelmére vonatkozó képzés megvalósítása | CMA_0329 – A hitelesítők védelmére vonatkozó képzés megvalósítása | Manuális, Letiltva | 1.1.0 |
| Rendszer- és rendszergazdai fiókok kezelése | CMA_0368 – Rendszer- és rendszergazdai fiókok kezelése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés figyelése a szervezeten belül | CMA_0376 – Hozzáférés figyelése a szervezeten belül | Manuális, Letiltva | 1.1.0 |
| Kiemelt szerepkör-hozzárendelés figyelése | CMA_0378 – Kiemelt szerepkör-hozzárendelés figyelése | Manuális, Letiltva | 1.1.0 |
| Értesítés arról, ha nincs szükség fiókra | CMA_0383 – Értesítés arról, ha nincs szükség fiókra | Manuális, Letiltva | 1.1.0 |
| Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása | CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
| A kiemelt szerepkörök visszavonása a megfelelő módon | CMA_0483 – A kiemelt szerepkörök megfelelő visszavonása | Manuális, Letiltva | 1.1.0 |
| Emelt szintű identitáskezelés használata | CMA_0533 – Emelt szintű identitáskezelés használata | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Felhasználók engedélyezhetik, hogy a céges adatokhoz a nevükben hozzáférő alkalmazások" értéke "Nem" legyen.
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.9 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
2 Security Center
Győződjön meg arról, hogy a standard tarifacsomag van kiválasztva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | Manuális, Letiltva | 1.1.0 |
| Nem engedélyezett vagy jóváhagyott hálózati szolgáltatások észlelése | CMA_C1700 – Nem engedélyezett vagy jóváhagyott hálózati szolgáltatások észlelése | Manuális, Letiltva | 1.1.0 |
| Átjárók kezelése | CMA_0363 – Átjárók kezelése | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Kártevőészlelési jelentés heti áttekintése | CMA_0475 – Kártevőészlelési jelentések heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Veszélyforrások elleni védelem állapotának heti áttekintése | CMA_0479 – A veszélyforrások elleni védelem állapotának heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Víruskereső-definíciók frissítése | CMA_0517 – Víruskereső-definíciók frissítése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a biztonságirés-felmérés monitorozása az ASC alapértelmezett házirendbeállítása nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.10 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy a "Storage Blob Encryption monitorozása" alapértelmezett házirend-beállítás nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.11 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatszivárgás-kezelési eljárás létrehozása | CMA_0255 – Adatszivárgás-kezelési eljárás létrehozása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Speciális információk védelme | CMA_0409 – Speciális információk védelme | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az ASC alapértelmezett házirendbeállítása ,,A JIT hálózati hozzáférés figyelése" nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.12 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Nem engedélyezett vagy jóváhagyott hálózati szolgáltatások észlelése | CMA_C1700 – Nem engedélyezett vagy jóváhagyott hálózati szolgáltatások észlelése | Manuális, Letiltva | 1.1.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy az ASC alapértelmezett szabályzatbeállítása az "Adaptív alkalmazás engedélyezési listájának figyelése" nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.13 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezheti az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, amikor más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy az ASC alapértelmezett szabályzatbeállítása ,,Az SQL-naplózás monitorozása" nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.14 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| Naplózható események meghatározása | CMA_0137 – Naplózható események meghatározása | Manuális, Letiltva | 1.1.0 |
| Naplózási adatok áttekintése | CMA_0466 – Auditadatok áttekintése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az ASC alapértelmezett szabályzatbeállítása ,,Az SQL-titkosítás monitorozása" nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.15 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatszivárgás-kezelési eljárás létrehozása | CMA_0255 – Adatszivárgás-kezelési eljárás létrehozása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Speciális információk védelme | CMA_0409 – Speciális információk védelme | Manuális, Letiltva | 1.1.0 |
| transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
Győződjön meg arról, hogy be van állítva a "Biztonsági kapcsolattartó e-mailjei" beállítás
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.16 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Győződjön meg arról, hogy az "E-mail-értesítés küldése a nagy súlyosságú riasztásokhoz" beállítás be van kapcsolva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.18 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.1.0 |
Győződjön meg arról, hogy az "E-mail küldése az előfizetés tulajdonosainak is" beállítás be van kapcsolva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.19 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
Győződjön meg arról, hogy a "Monitorozási ügynök automatikus kiépítése" beállítás be van kapcsolva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben | A biztonsági rések és fenyegetések monitorozásához az Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus üzembe helyezést az ügynök automatikus üzembe helyezéséhez az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. | AuditIfNotExists, Disabled | 1.0.1 |
| Biztonsági műveletek dokumentálása | CMA_0202 – Biztonsági műveletek dokumentálása | Manuális, Letiltva | 1.1.0 |
| Érzékelők bekapcsolása végpontbiztonsági megoldáshoz | CMA_0514 – Érzékelők bekapcsolása végpontbiztonsági megoldáshoz | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Rendszer figyelése Frissítések" ASC alapértelmezett házirendbeállítása nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
| A rendszerfrissítéseket telepíteni kell a gépekre | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit az Azure Security Center ajánlásként figyeli | AuditIfNotExists, Disabled | 4.0.0 |
Győződjön meg arról, hogy az ASC alapértelmezett házirendbeállítása "Az operációs rendszer biztonsági réseinek figyelése" nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
Győződjön meg arról, hogy a "Monitor Endpoint Protection" alapértelmezett házirend-beállítás nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | Manuális, Letiltva | 1.1.0 |
| Átjárók kezelése | CMA_0363 – Átjárók kezelése | Manuális, Letiltva | 1.1.0 |
| Hiányzó Endpoint Protection monitorozása az Azure Security Centerben | A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat az Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 3.0.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Kártevőészlelési jelentés heti áttekintése | CMA_0475 – Kártevőészlelési jelentések heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Veszélyforrások elleni védelem állapotának heti áttekintése | CMA_0479 – A veszélyforrások elleni védelem állapotának heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Víruskereső-definíciók frissítése | CMA_0517 – Víruskereső-definíciók frissítése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Lemeztitkosítás monitorozása" alapértelmezett házirend-beállítás nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.6 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatszivárgás-kezelési eljárás létrehozása | CMA_0255 – Adatszivárgás-kezelési eljárás létrehozása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Speciális információk védelme | CMA_0409 – Speciális információk védelme | Manuális, Letiltva | 1.1.0 |
| A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Győződjön meg arról, hogy a "Hálózati biztonsági csoportok figyelése" alapértelmezett házirend-beállítás nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.7 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az adaptív hálózatmegerősítési javaslatokat az internetkapcsolattal rendelkező virtuális gépeken kell alkalmazni | Az Azure Security Center elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és olyan hálózati biztonsági csoportszabály-javaslatokat nyújt, amelyek csökkentik a potenciális támadási felületet | AuditIfNotExists, Disabled | 3.0.0 |
| Információáramlás szabályozása | CMA_0079 – Az információáramlás szabályozása | Manuális, Letiltva | 1.1.0 |
| A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | CMA_0211 – A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Webalkalmazás tűzfalának figyelése" alapértelmezett házirend-beállítás nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.8 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információáramlás szabályozása | CMA_0079 – Az információáramlás szabályozása | Manuális, Letiltva | 1.1.0 |
| A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | CMA_0211 – A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a következő generációs tűzfal (NGFW) monitorozásának engedélyezése az ASC alapértelmezett házirendbeállítása nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.9 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információáramlás szabályozása | CMA_0079 – Az információáramlás szabályozása | Manuális, Letiltva | 1.1.0 |
| A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | CMA_0211 – A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | Manuális, Letiltva | 1.1.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
3 Tárfiókok
Győződjön meg arról, hogy a "Biztonságos átvitel szükséges" beállítás "Engedélyezve" értékre van állítva
Azonosító: CIS Microsoft Azure Foundations Benchmark recommendation 3.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | CMA_0073 – Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | Manuális, Letiltva | 1.1.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Jelszavak védelme titkosítással | CMA_0408 – Jelszavak védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
Győződjön meg arról, hogy a tárfiók hozzáférési kulcsai rendszeres időközönként újragenerálódnak
Id: CIS Microsoft Azure Foundations Benchmark recommendation 3.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai kulcskezelési folyamat definiálása | CMA_0115 – Fizikai kulcskezelési folyamat definiálása | Manuális, Letiltva | 1.1.0 |
| Titkosítási használat definiálása | CMA_0120 – Titkosítási használat meghatározása | Manuális, Letiltva | 1.1.0 |
| A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása | CMA_0123 – A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| A helyességi követelmények meghatározása | CMA_0136 – A helyességi követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Nyilvános kulcsú tanúsítványok kiállítása | CMA_0347 – Nyilvános kulcsú tanúsítványok kiállítása | Manuális, Letiltva | 1.1.0 |
| Szimmetrikus titkosítási kulcsok kezelése | CMA_0367 – Szimmetrikus titkosítási kulcsok kezelése | Manuális, Letiltva | 1.1.0 |
| A titkos kulcsokhoz való hozzáférés korlátozása | CMA_0445 – A titkos kulcsokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a Tárolónaplózás engedélyezve van a Queue service-ben olvasási, írási és törlési kérelmek esetén
Id: CIS Microsoft Azure Foundations Benchmark recommendation 3.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Az Azure Audit képességeinek konfigurálása | CMA_C1108 – Az Azure Audit képességeinek konfigurálása | Manuális, Letiltva | 1.1.1 |
| Naplózható események meghatározása | CMA_0137 – Naplózható események meghatározása | Manuális, Letiltva | 1.1.0 |
| Naplózási adatok áttekintése | CMA_0466 – Auditadatok áttekintése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a közös hozzáférésű jogosultságkódok egy órán belül lejárnak
Id: CIS Microsoft Azure Foundations Benchmark recommendation 3.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hitelesítők letiltása a leállításkor | CMA_0169 – Hitelesítők letiltása a megszüntetéskor | Manuális, Letiltva | 1.1.0 |
| A kiemelt szerepkörök visszavonása a megfelelő módon | CMA_0483 – A kiemelt szerepkörök megfelelő visszavonása | Manuális, Letiltva | 1.1.0 |
| Felhasználói munkamenet automatikus megszakítása | CMA_C1054 – A felhasználói munkamenet automatikus megszakítása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a közös hozzáférésű jogosultságkód-jogkivonatok csak https-en keresztül engedélyezettek
Id: CIS Microsoft Azure Foundations Benchmark recommendation 3.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | CMA_0073 – Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | Manuális, Letiltva | 1.1.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Jelszavak védelme titkosítással | CMA_0408 – Jelszavak védelme titkosítással | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "nyilvános hozzáférési szint" privátra van állítva blobtárolókhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 3.6 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 3.1.0-előzetes verzió |
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Logikai hozzáférés kényszerítése | CMA_0245 – Logikai hozzáférés kényszerítése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| Jóváhagyás megkövetelése fióklétrehozáshoz | CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz | Manuális, Letiltva | 1.1.0 |
| Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | CMA_0481 – Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a tárfiókok alapértelmezett hálózati hozzáférési szabálya elutasításra van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 3.7 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
Győződjön meg arról, hogy a "Megbízható Microsoft-szolgáltatások" engedélyezve van a tárfiók-hozzáféréshez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 3.8 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információáramlás szabályozása | CMA_0079 – Az információáramlás szabályozása | Manuális, Letiltva | 1.1.0 |
| A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | CMA_0211 – A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | Manuális, Letiltva | 1.1.0 |
| Tűzfal- és útválasztókonfigurációs szabványok létrehozása | CMA_0272 – Tűzfal- és útválasztókonfigurációs szabványok létrehozása | Manuális, Letiltva | 1.1.0 |
| Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | CMA_0273 – Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | Manuális, Letiltva | 1.1.0 |
| Alsóbb rétegbeli információcsere azonosítása és kezelése | CMA_0298 – Alsóbb rétegbeli információcsere azonosítása és kezelése | Manuális, Letiltva | 1.1.0 |
| A tárfiókok számára engedélyezni kell a hozzáférést a megbízható Microsoft-szolgáltatások | Egyes Microsoft-szolgáltatások, amelyek a tárfiókokat használják, olyan hálózatokból működnek, amelyek hálózati szabályokkal nem tudnak hozzáférést biztosítani. Az ilyen típusú szolgáltatás rendeltetésszerű működéséhez engedélyezze, hogy a megbízható Microsoft-szolgáltatások megkerüljék a hálózati szabályokat. Ezek a szolgáltatások ezután erős hitelesítést használnak a tárfiók eléréséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
4 Adatbázis-szolgáltatások
Győződjön meg arról, hogy a naplózás be van kapcsolva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| Naplózható események meghatározása | CMA_0137 – Naplózható események meghatározása | Manuális, Letiltva | 1.1.0 |
| Naplózási adatok áttekintése | CMA_0466 – Auditadatok áttekintése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az SQL Server TDE-védelme BYOK-tal van titkosítva (Saját kulcs használata)
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.10 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatszivárgás-kezelési eljárás létrehozása | CMA_0255 – Adatszivárgás-kezelési eljárás létrehozása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Speciális információk védelme | CMA_0409 – Speciális információk védelme | Manuális, Letiltva | 1.1.0 |
| A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.1 |
Győződjön meg arról, hogy az SSL-kapcsolat kényszerítése engedélyezve van a MySQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.11 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | CMA_0073 – Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Jelszavak védelme titkosítással | CMA_0408 – Jelszavak védelme titkosítással | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az "log_checkpoints" kiszolgálóparaméter "ON" értékre van állítva a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.12 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Naplózható események meghatározása | CMA_0137 – Naplózható események meghatározása | Manuális, Letiltva | 1.1.0 |
| A naplóellenőrzési pontokat engedélyezni kell a PostgreSQL-adatbáziskiszolgálókhoz | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van log_checkpoints beállítás. | AuditIfNotExists, Disabled | 1.0.0 |
| Naplózási adatok áttekintése | CMA_0466 – Auditadatok áttekintése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az SSL-kapcsolat kényszerítése engedélyezve van a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.13 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | CMA_0073 – Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Jelszavak védelme titkosítással | CMA_0408 – Jelszavak védelme titkosítással | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az "log_connections" kiszolgálóparaméter "ON" értékre van állítva a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.14 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Naplózható események meghatározása | CMA_0137 – Naplózható események meghatározása | Manuális, Letiltva | 1.1.0 |
| A naplókapcsolatokat engedélyezni kell a PostgreSQL-adatbáziskiszolgálókhoz | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van log_connections beállítás. | AuditIfNotExists, Disabled | 1.0.0 |
| Naplózási adatok áttekintése | CMA_0466 – Auditadatok áttekintése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az "log_disconnections" kiszolgálóparaméter "ON" értékre van állítva a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.15 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Naplózható események meghatározása | CMA_0137 – Naplózható események meghatározása | Manuális, Letiltva | 1.1.0 |
| A leválasztást a PostgreSQL-adatbáziskiszolgálók esetében kell naplózni. | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve log_disconnections. | AuditIfNotExists, Disabled | 1.0.0 |
| Naplózási adatok áttekintése | CMA_0466 – Auditadatok áttekintése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az "log_duration" kiszolgálóparaméter "ON" értékre van állítva a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.16 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Naplózható események meghatározása | CMA_0137 – Naplózható események meghatározása | Manuális, Letiltva | 1.1.0 |
| Naplózási adatok áttekintése | CMA_0466 – Auditadatok áttekintése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az "connection_throttling" kiszolgálóparaméter "ON" értékre van állítva a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.17 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Csatlakozás szabályozást engedélyezni kell a PostgreSQL-adatbáziskiszolgálók számára | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van Csatlakozás szabályozás. Ez a beállítás lehetővé teszi az ip-címenkénti ideiglenes kapcsolatszabályozást túl sok érvénytelen jelszó-bejelentkezési hiba esetén. | AuditIfNotExists, Disabled | 1.0.0 |
| Naplózható események meghatározása | CMA_0137 – Naplózható események meghatározása | Manuális, Letiltva | 1.1.0 |
| Naplózási adatok áttekintése | CMA_0466 – Auditadatok áttekintése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "log_retention_days" kiszolgálóparaméter 3 napnál hosszabb a PostgreSQL-adatbáziskiszolgáló esetében
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.18 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A megadott megőrzési időszakok betartása | CMA_0004 – A megadott megőrzési időszakok betartása | Manuális, Letiltva | 1.1.0 |
| Naplózási feldolgozási tevékenységek szabályozása és monitorozása | CMA_0289 – Auditfeldolgozási tevékenységek szabályozása és monitorozása | Manuális, Letiltva | 1.1.0 |
| Biztonsági szabályzatok és eljárások megőrzése | CMA_0454 – Biztonsági szabályzatok és eljárások megőrzése | Manuális, Letiltva | 1.1.0 |
| Megszakított felhasználói adatok megőrzése | CMA_0455 – Megszakított felhasználói adatok megőrzése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az Azure Active Directory Rendszergazda konfigurálva van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.19 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fiókkezelés automatizálása | CMA_0026 – Fiókkezelés automatizálása | Manuális, Letiltva | 1.1.0 |
| Rendszer- és rendszergazdai fiókok kezelése | CMA_0368 – Rendszer- és rendszergazdai fiókok kezelése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés figyelése a szervezeten belül | CMA_0376 – Hozzáférés figyelése a szervezeten belül | Manuális, Letiltva | 1.1.0 |
| Értesítés arról, ha nincs szükség fiókra | CMA_0383 – Értesítés arról, ha nincs szükség fiókra | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az "AuditActionGroups" az SQL Server naplózási szabályzatában megfelelően van beállítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Naplózható események meghatározása | CMA_0137 – Naplózható események meghatározása | Manuális, Letiltva | 1.1.0 |
| Naplózási adatok áttekintése | CMA_0466 – Auditadatok áttekintése | Manuális, Letiltva | 1.1.0 |
| Az SQL-naplózási beállításoknak konfigurálniuk kell a kritikus tevékenységek rögzítésére szolgáló műveletcsoportokat | Az AuditActionsAndGroups tulajdonságnak legalább SUCCESSFUL_DATABA Standard kiadás_AUTHENTICATION_GROUP, FAILED_DATABA Standard kiadás_AUTHENTICATION_GROUP BATCH_COMPLETED_GROUP kell tartalmaznia az alapos naplózás biztosítása érdekében | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a naplózási adatmegőrzés "90 napnál hosszabb"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A megadott megőrzési időszakok betartása | CMA_0004 – A megadott megőrzési időszakok betartása | Manuális, Letiltva | 1.1.0 |
| Naplózási feldolgozási tevékenységek szabályozása és monitorozása | CMA_0289 – Auditfeldolgozási tevékenységek szabályozása és monitorozása | Manuális, Letiltva | 1.1.0 |
| Biztonsági szabályzatok és eljárások megőrzése | CMA_0454 – Biztonsági szabályzatok és eljárások megőrzése | Manuális, Letiltva | 1.1.0 |
| Megszakított felhasználói adatok megőrzése | CMA_0455 – Megszakított felhasználói adatok megőrzése | Manuális, Letiltva | 1.1.0 |
| A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni | Incidensvizsgálati célokból javasoljuk, hogy az SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy az SQL Server "Advanced Data Security" értéke "Be"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Fenyegetésészlelési típusok" értéke "Minden"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Riasztások küldése" beállítás be van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.6 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Riasztási személyzet az információk kiömlése miatt | CMA_0007 – Az információk kiömlésének riasztása | Manuális, Letiltva | 1.1.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az "E-mail szolgáltatás és a társadminisztrátorok" engedélyezve van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.7 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Riasztási személyzet az információk kiömlése miatt | CMA_0007 – Az információk kiömlésének riasztása | Manuális, Letiltva | 1.1.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az Azure Active Directory Rendszergazda konfigurálva van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.8 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Fiókkezelés automatizálása | CMA_0026 – Fiókkezelés automatizálása | Manuális, Letiltva | 1.1.0 |
| Rendszer- és rendszergazdai fiókok kezelése | CMA_0368 – Rendszer- és rendszergazdai fiókok kezelése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés figyelése a szervezeten belül | CMA_0376 – Hozzáférés figyelése a szervezeten belül | Manuális, Letiltva | 1.1.0 |
| Értesítés arról, ha nincs szükség fiókra | CMA_0383 – Értesítés arról, ha nincs szükség fiókra | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az "Adattitkosítás" be van kapcsolva egy SQL Database-ben
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.9 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatszivárgás-kezelési eljárás létrehozása | CMA_0255 – Adatszivárgás-kezelési eljárás létrehozása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Speciális információk védelme | CMA_0409 – Speciális információk védelme | Manuális, Letiltva | 1.1.0 |
| transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
5 Naplózás és figyelés
Győződjön meg arról, hogy létezik naplóprofil
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A megadott megőrzési időszakok betartása | CMA_0004 – A megadott megőrzési időszakok betartása | Manuális, Letiltva | 1.1.0 |
| Az Azure-előfizetéseknek naplóprofillal kell rendelkezniük a tevékenységnaplóhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil engedélyezve legyen-e a tevékenységnaplók exportálásához. Naplózza, ha nem jött létre naplóprofil a naplók tárfiókba vagy eseményközpontba való exportálásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Naplózási feldolgozási tevékenységek szabályozása és monitorozása | CMA_0289 – Auditfeldolgozási tevékenységek szabályozása és monitorozása | Manuális, Letiltva | 1.1.0 |
| Biztonsági szabályzatok és eljárások megőrzése | CMA_0454 – Biztonsági szabályzatok és eljárások megőrzése | Manuális, Letiltva | 1.1.0 |
| Megszakított felhasználói adatok megőrzése | CMA_0455 – Megszakított felhasználói adatok megőrzése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a tevékenységnapló megőrzési ideje 365 nap vagy nagyobb
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A tevékenységnaplót legalább egy évig meg kell őrizni | Ez a szabályzat naplózza a tevékenységnaplót, ha a megőrzés nincs beállítva 365 napra vagy örökre (a megőrzési napok értéke 0). | AuditIfNotExists, Disabled | 1.0.0 |
| A megadott megőrzési időszakok betartása | CMA_0004 – A megadott megőrzési időszakok betartása | Manuális, Letiltva | 1.1.0 |
| Biztonsági szabályzatok és eljárások megőrzése | CMA_0454 – Biztonsági szabályzatok és eljárások megőrzése | Manuális, Letiltva | 1.1.0 |
| Megszakított felhasználói adatok megőrzése | CMA_0455 – Megszakított felhasználói adatok megőrzése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az auditprofil rögzíti az összes tevékenységet
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A megadott megőrzési időszakok betartása | CMA_0004 – A megadott megőrzési időszakok betartása | Manuális, Letiltva | 1.1.0 |
| Az Azure Monitor naplóprofiljának naplókat kell gyűjtenie az "írás", a "törlés" és a "művelet" kategóriákhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil gyűjtsön naplókat az "írás", a "törlés" és a "művelet" kategóriákhoz | AuditIfNotExists, Disabled | 1.0.0 |
| Naplózási feldolgozási tevékenységek szabályozása és monitorozása | CMA_0289 – Auditfeldolgozási tevékenységek szabályozása és monitorozása | Manuális, Letiltva | 1.1.0 |
| Biztonsági szabályzatok és eljárások megőrzése | CMA_0454 – Biztonsági szabályzatok és eljárások megőrzése | Manuális, Letiltva | 1.1.0 |
| Megszakított felhasználói adatok megőrzése | CMA_0455 – Megszakított felhasználói adatok megőrzése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a naplóprofil minden régióban rögzíti a tevékenységnaplókat, beleértve a globálist is
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A megadott megőrzési időszakok betartása | CMA_0004 – A megadott megőrzési időszakok betartása | Manuális, Letiltva | 1.1.0 |
| Az Azure Monitornak minden régióból be kell gyűjtenie a tevékenységnaplókat | Ez a szabályzat naplózza az Azure Monitor naplóprofilt, amely nem exportál tevékenységeket az összes Azure-támogatás régióból, beleértve a globálist is. | AuditIfNotExists, Disabled | 2.0.0 |
| Naplózási feldolgozási tevékenységek szabályozása és monitorozása | CMA_0289 – Auditfeldolgozási tevékenységek szabályozása és monitorozása | Manuális, Letiltva | 1.1.0 |
| Biztonsági szabályzatok és eljárások megőrzése | CMA_0454 – Biztonsági szabályzatok és eljárások megőrzése | Manuális, Letiltva | 1.1.0 |
| Megszakított felhasználói adatok megőrzése | CMA_0455 – Megszakított felhasználói adatok megőrzése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a tevékenységnaplókat tároló tároló tároló nem érhető el nyilvánosan
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 3.1.0-előzetes verzió |
| Kettős vagy közös engedélyezés engedélyezése | CMA_0226 – Kettős vagy közös engedélyezés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Naplózási információk védelme | CMA_0401 – Naplózási információk védelme | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a tevékenységnaplókkal rendelkező tárolót tartalmazó tárfiók titkosítva van a BYOK használatával (saját kulcs használata)
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.6 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kettős vagy közös engedélyezés engedélyezése | CMA_0226 – Kettős vagy közös engedélyezés engedélyezése | Manuális, Letiltva | 1.1.0 |
| A naplózási rendszer integritásának fenntartása | CMA_C1133 – A naplózási rendszer integritásának fenntartása | Manuális, Letiltva | 1.1.0 |
| Naplózási információk védelme | CMA_0401 – Naplózási információk védelme | Manuális, Letiltva | 1.1.0 |
| A tevékenységnaplókkal rendelkező tárolót tartalmazó tárfiókot BYOK-tal kell titkosítani | Ez a szabályzat naplózza, hogy a tevékenységnaplókkal rendelkező tárolót tartalmazó Storage-fiók titkosítva van-e a BYOK-tal. A szabályzat csak akkor működik, ha a tárfiók ugyanazon az előfizetésen található, mint a tevékenységnaplók. További információt az Azure Storage inaktív titkosításáról itt https://aka.ms/azurestoragebyoktalál. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az Azure KeyVault naplózása engedélyezve van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.7 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Naplózható események meghatározása | CMA_0137 – Naplózható események meghatározása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell az Erőforrásnaplókat az Azure Key Vault felügyelt HSM-ben | A tevékenységnaplók vizsgálati célokra való ismételt létrehozásához biztonsági incidens esetén vagy a hálózat feltörésekor érdemes lehet naplózni az erőforrásnaplók felügyelt HSM-eken való engedélyezésével. Kövesse a következő utasításokat: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Naplózási adatok áttekintése | CMA_0466 – Auditadatok áttekintése | Manuális, Letiltva | 1.1.0 |
Ellenőrizze, hogy létezik-e tevékenységnapló-riasztás a szabályzat-hozzárendelés létrehozásához
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Riasztási személyzet az információk kiömlése miatt | CMA_0007 – Az információk kiömlésének riasztása | Manuális, Letiltva | 1.1.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott szabályzatműveletekhez | Ez a szabályzat naplózza az adott szabályzatműveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 3.0.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a hálózati biztonsági csoport létrehozásához vagy frissítéséhez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Riasztási személyzet az információk kiömlése miatt | CMA_0007 – Az információk kiömlésének riasztása | Manuális, Letiltva | 1.1.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a hálózati biztonsági csoport törlésekor
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Riasztási személyzet az információk kiömlése miatt | CMA_0007 – Az információk kiömlésének riasztása | Manuális, Letiltva | 1.1.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a hálózati biztonsági csoport szabályának létrehozásához vagy frissítéséhez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Riasztási személyzet az információk kiömlése miatt | CMA_0007 – Az információk kiömlésének riasztása | Manuális, Letiltva | 1.1.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a Hálózati biztonsági csoport törlése szabályhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Riasztási személyzet az információk kiömlése miatt | CMA_0007 – Az információk kiömlésének riasztása | Manuális, Letiltva | 1.1.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a biztonsági megoldás létrehozásához vagy frissítéséhez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.6 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Riasztási személyzet az információk kiömlése miatt | CMA_0007 – Az információk kiömlésének riasztása | Manuális, Letiltva | 1.1.0 |
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a biztonsági megoldás törlésekor
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.7 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Riasztási személyzet az információk kiömlése miatt | CMA_0007 – Az információk kiömlésének riasztása | Manuális, Letiltva | 1.1.0 |
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
Ellenőrizze, hogy létezik-e tevékenységnapló-riasztás az SQL Server tűzfalszabályának létrehozásához vagy frissítéséhez vagy törléséhez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.8 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Riasztási személyzet az információk kiömlése miatt | CMA_0007 – Az információk kiömlésének riasztása | Manuális, Letiltva | 1.1.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
Ellenőrizze, hogy létezik-e tevékenységnapló-riasztás a frissítési biztonsági szabályzathoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.9 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Riasztási személyzet az információk kiömlése miatt | CMA_0007 – Az információk kiömlésének riasztása | Manuális, Letiltva | 1.1.0 |
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
6 Hálózatkezelés
Győződjön meg arról, hogy az SQL Database-adatbázisok nem engedélyezik a 0.0.0.0/0 bejövő forgalmat (BÁRMELY IP-cím)
Id: CIS Microsoft Azure Foundations Benchmark recommendation 6.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információáramlás szabályozása | CMA_0079 – Az információáramlás szabályozása | Manuális, Letiltva | 1.1.0 |
| A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | CMA_0211 – A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a hálózati biztonsági csoport folyamatnaplójának megőrzési időtartama "90 napnál hosszabb"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 6.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A megadott megőrzési időszakok betartása | CMA_0004 – A megadott megőrzési időszakok betartása | Manuális, Letiltva | 1.1.0 |
| Biztonsági szabályzatok és eljárások megőrzése | CMA_0454 – Biztonsági szabályzatok és eljárások megőrzése | Manuális, Letiltva | 1.1.0 |
| Megszakított felhasználói adatok megőrzése | CMA_0455 – Megszakított felhasználói adatok megőrzése | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a Network Watcher engedélyezve van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 6.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Biztonsági függvények ellenőrzése | CMA_C1708 – Biztonsági függvények ellenőrzése | Manuális, Letiltva | 1.1.0 |
7 Virtuális gépek
Győződjön meg arról, hogy az operációsrendszer-lemez titkosítva van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 7.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatszivárgás-kezelési eljárás létrehozása | CMA_0255 – Adatszivárgás-kezelési eljárás létrehozása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Speciális információk védelme | CMA_0409 – Speciális információk védelme | Manuális, Letiltva | 1.1.0 |
| A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Győződjön meg arról, hogy az adatlemezek titkosítva vannak
Id: CIS Microsoft Azure Foundations Benchmark recommendation 7.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatszivárgás-kezelési eljárás létrehozása | CMA_0255 – Adatszivárgás-kezelési eljárás létrehozása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Speciális információk védelme | CMA_0409 – Speciális információk védelme | Manuális, Letiltva | 1.1.0 |
| A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Győződjön meg arról, hogy a "nem csatlakoztatott lemezek" titkosítva vannak
Id: CIS Microsoft Azure Foundations Benchmark recommendation 7.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatszivárgás-kezelési eljárás létrehozása | CMA_0255 – Adatszivárgás-kezelési eljárás létrehozása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Speciális információk védelme | CMA_0409 – Speciális információk védelme | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy csak a jóváhagyott bővítmények vannak telepítve
Id: CIS Microsoft Azure Foundations Benchmark recommendation 7.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Csak jóváhagyott virtuálisgép-bővítményeket kell telepíteni | Ez a szabályzat a nem jóváhagyott virtuálisgép-bővítményeket szabályozza. | Naplózás, megtagadás, letiltva | 1.0.0 |
Győződjön meg arról, hogy az összes virtuális gép legújabb operációsrendszer-javításai telepítve vannak
Id: CIS Microsoft Azure Foundations Benchmark recommendation 7.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
| A rendszerfrissítéseket telepíteni kell a gépekre | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit az Azure Security Center ajánlásként figyeli | AuditIfNotExists, Disabled | 4.0.0 |
Győződjön meg arról, hogy az összes virtuális gép végpontvédelme telepítve van
Azonosító: CIS Microsoft Azure Foundations Benchmark recommendation 7.6 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | Manuális, Letiltva | 1.1.0 |
| Biztonsági műveletek dokumentálása | CMA_0202 – Biztonsági műveletek dokumentálása | Manuális, Letiltva | 1.1.0 |
| Átjárók kezelése | CMA_0363 – Átjárók kezelése | Manuális, Letiltva | 1.1.0 |
| Hiányzó Endpoint Protection monitorozása az Azure Security Centerben | A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat az Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 3.0.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Kártevőészlelési jelentés heti áttekintése | CMA_0475 – Kártevőészlelési jelentések heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Veszélyforrások elleni védelem állapotának heti áttekintése | CMA_0479 – A veszélyforrások elleni védelem állapotának heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Érzékelők bekapcsolása végpontbiztonsági megoldáshoz | CMA_0514 – Érzékelők bekapcsolása végpontbiztonsági megoldáshoz | Manuális, Letiltva | 1.1.0 |
| Víruskereső-definíciók frissítése | CMA_0517 – Víruskereső-definíciók frissítése | Manuális, Letiltva | 1.1.0 |
| Szoftver, belső vezérlőprogram és információ integritásának ellenőrzése | CMA_0542 – A szoftver, a belső vezérlőprogram és az információ integritásának ellenőrzése | Manuális, Letiltva | 1.1.0 |
8 Egyéb biztonsági szempontok
Győződjön meg arról, hogy a lejárati dátum az összes kulcson be van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 8.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai kulcskezelési folyamat definiálása | CMA_0115 – Fizikai kulcskezelési folyamat definiálása | Manuális, Letiltva | 1.1.0 |
| Titkosítási használat definiálása | CMA_0120 – Titkosítási használat meghatározása | Manuális, Letiltva | 1.1.0 |
| A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása | CMA_0123 – A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| A helyességi követelmények meghatározása | CMA_0136 – A helyességi követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Nyilvános kulcsú tanúsítványok kiállítása | CMA_0347 – Nyilvános kulcsú tanúsítványok kiállítása | Manuális, Letiltva | 1.1.0 |
| A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük | A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Szimmetrikus titkosítási kulcsok kezelése | CMA_0367 – Szimmetrikus titkosítási kulcsok kezelése | Manuális, Letiltva | 1.1.0 |
| A titkos kulcsokhoz való hozzáférés korlátozása | CMA_0445 – A titkos kulcsokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a lejárati dátum az összes titkos kódra be van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 8.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai kulcskezelési folyamat definiálása | CMA_0115 – Fizikai kulcskezelési folyamat definiálása | Manuális, Letiltva | 1.1.0 |
| Titkosítási használat definiálása | CMA_0120 – Titkosítási használat meghatározása | Manuális, Letiltva | 1.1.0 |
| A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása | CMA_0123 – A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| A helyességi követelmények meghatározása | CMA_0136 – A helyességi követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Nyilvános kulcsú tanúsítványok kiállítása | CMA_0347 – Nyilvános kulcsú tanúsítványok kiállítása | Manuális, Letiltva | 1.1.0 |
| A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie | A titkos kódoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes titkos kódok több időt biztosítanak a potenciális támadóknak, hogy feltörjék őket. Ajánlott biztonsági eljárás a titkos kódok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Szimmetrikus titkosítási kulcsok kezelése | CMA_0367 – Szimmetrikus titkosítási kulcsok kezelése | Manuális, Letiltva | 1.1.0 |
| A titkos kulcsokhoz való hozzáférés korlátozása | CMA_0445 – A titkos kulcsokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az erőforrás-zárolások be vannak állítva a kritikus fontosságú Azure-erőforrásokhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 8.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a kulcstartó helyreállítható
Id: CIS Microsoft Azure Foundations Benchmark recommendation 8.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Key Vault felügyelt HSM-nek engedélyeznie kell a törlés elleni védelmet | Az Azure Key Vault által felügyelt HSM rosszindulatú törlése állandó adatvesztéshez vezethet. A szervezet rosszindulatú bennfentesei törölhetik és törölhetik az Azure Key Vault által felügyelt HSM-et. A törlés elleni védelem a helyreállíthatóan törölt Azure Key Vault felügyelt HSM kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki nem fogja tudni törölni az Azure Key Vault által felügyelt HSM-et. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A kulcstartók törlés elleni védelmének engedélyezve kell lennie | A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. | Naplózás, megtagadás, letiltva | 2.1.0 |
| Az információk rendelkezésre állásának fenntartása | CMA_C1644 – Az információk rendelkezésre állásának fenntartása | Manuális, Letiltva | 1.1.0 |
Szerepköralapú hozzáférés-vezérlés (RBAC) engedélyezése az Azure Kubernetes Servicesben
Id: CIS Microsoft Azure Foundations Benchmark recommendation 8.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | A felhasználók által végrehajtható műveletek részletes szűréséhez használja az Azure Szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.3 |
| Logikai hozzáférés kényszerítése | CMA_0245 – Logikai hozzáférés kényszerítése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| Jóváhagyás megkövetelése fióklétrehozáshoz | CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz | Manuális, Letiltva | 1.1.0 |
| Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | CMA_0481 – Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | Manuális, Letiltva | 1.1.0 |
9 AppService
Győződjön meg arról, hogy az App Service-hitelesítés be van állítva Azure-alkalmazás szolgáltatásban
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak engedélyezniük kell a hitelesítést | Azure-alkalmazás szolgáltatáshitelesítés olyan szolgáltatás, amely megakadályozhatja, hogy a névtelen HTTP-kérések elérjék a webalkalmazást, vagy hitelesítsék a jogkivonatokkal rendelkezőket, mielőtt elérnék a webalkalmazást. | AuditIfNotExists, Disabled | 2.0.1 |
| Hitelesítés titkosítási modulba | CMA_0021 – Hitelesítés titkosítási modulba | Manuális, Letiltva | 1.1.0 |
| Felhasználói egyediség kényszerítése | CMA_0250 – Felhasználói egyediség kényszerítése | Manuális, Letiltva | 1.1.0 |
| A függvényalkalmazásoknak engedélyezniük kell a hitelesítést | Azure-alkalmazás szolgáltatáshitelesítés olyan szolgáltatás, amely megakadályozhatja, hogy a névtelen HTTP-kérések elérjék a függvényalkalmazást, vagy hitelesítsék azokat, amelyek jogkivonatokkal rendelkeznek a függvényalkalmazás elérése előtt. | AuditIfNotExists, Disabled | 3.0.0 |
| A jogi hatóságok által kiadott személyes ellenőrzési hitelesítő adatok támogatása | CMA_0507 – A jogi hatóságok által kiadott személyes ellenőrzési hitelesítő adatok támogatása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "HTTP-verzió" a legújabb, ha a webalkalmazás futtatásához használják
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.10 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| A függvényalkalmazások a legújabb HTTP-verziót használják | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a webalkalmazás átirányítja az összes HTTP-forgalmat a HTTPS-hez Azure-alkalmazás Szolgáltatásban
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | CMA_0073 – Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | Manuális, Letiltva | 1.1.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Jelszavak védelme titkosítással | CMA_0408 – Jelszavak védelme titkosítással | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a webalkalmazás a TLS-titkosítás legújabb verzióját használja
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | CMA_0073 – Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | Manuális, Letiltva | 1.1.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Jelszavak védelme titkosítással | CMA_0408 – Jelszavak védelme titkosítással | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a webalkalmazás "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" értéke "Be"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" funkciót | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a szabályzatot egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. | Naplózás, letiltva | 3.1.0-elavult |
| Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
| Hitelesítés titkosítási modulba | CMA_0021 – Hitelesítés titkosítási modulba | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy az Azure Active Directory regisztrációja engedélyezve van az App Service-ben
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Fiókkezelés automatizálása | CMA_0026 – Fiókkezelés automatizálása | Manuális, Letiltva | 1.1.0 |
| A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Rendszer- és rendszergazdai fiókok kezelése | CMA_0368 – Rendszer- és rendszergazdai fiókok kezelése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés figyelése a szervezeten belül | CMA_0376 – Hozzáférés figyelése a szervezeten belül | Manuális, Letiltva | 1.1.0 |
| Értesítés arról, ha nincs szükség fiókra | CMA_0383 – Értesítés arról, ha nincs szükség fiókra | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a ".Net Framework" verzió a legújabb, ha a webalkalmazás részeként használják
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.6 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "PHP-verzió" a legújabb, ha a webalkalmazás futtatásához használják
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.7 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Python-verzió" a legújabb, ha a webalkalmazás futtatásához használják
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.8 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
Győződjön meg arról, hogy a "Java-verzió" a legújabb, ha a webalkalmazás futtatásához használják
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.9 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
Következő lépések
További cikkek az Azure Policyról:
- A jogszabályi megfelelőség áttekintése.
- Tekintse meg a kezdeményezés definíciós struktúráját.
- Tekintse át az Azure Policy-minták egyéb példáit.
- A Szabályzatok hatásainak ismertetése.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.