A CIS Microsoft Azure Foundations Benchmark 1.1.0 (Azure Government) szabályozási megfelelőség beépített kezdeményezésének részletei
Az alábbi cikk azt ismerteti, hogy az Azure Policy Regulatory Compliance beépített kezdeményezésdefiníciója hogyan képezi le a megfelelőségi tartományokat és -vezérlőket a CIS Microsoft Azure Foundations Benchmark 1.1.0 (Azure Government) alkalmazásban. A megfelelőségi szabványról további információt a CIS Microsoft Azure Foundations Benchmark 1.1.0 című témakörben talál. A tulajdonjog megismeréséhez tekintse meg az Azure Policy szabályzatdefinícióját és a felhő megosztott felelősségét.
Az alábbi leképezések a CIS Microsoft Azure Foundations Benchmark 1.1.0-s vezérlőihez tartoznak . Számos vezérlő egy Azure Policy-kezdeményezési definícióval van implementálva. A kezdeményezés teljes definíciójának áttekintéséhez nyissa meg a Szabályzatot az Azure Portalon, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki a CIS Microsoft Azure Foundations Benchmark v1.1.0 szabályozási megfelelőség beépített kezdeményezési definícióját.
Fontos
Az alábbi vezérlők egy vagy több Azure Policy-definícióhoz lesznek társítva. Ezek a szabályzatok segíthetnek felmérni a vezérlőnek való megfelelőséget , azonban gyakran nem egy az egyhez vagy teljes egyezés van egy vezérlő és egy vagy több szabályzat között. Így az Azure Policy-beli megfelelőség csak magukra a szabályzatdefiníciókra vonatkozik; ez nem biztosítja, hogy teljes mértékben megfeleljen a vezérlők minden követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy-definíció sem kezel. Ezért az Azure Policy megfelelősége csak részlegesen tekinti át a teljes megfelelőségi állapotot. A megfelelőségi tartomány, a vezérlők és az Azure Policy-definíciók közötti társítások idővel változhatnak. A változáselőzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.
1 Identitás- és hozzáférés-kezelés
Győződjön meg arról, hogy a többtényezős hitelesítés minden kiemelt felhasználó számára engedélyezve van
Azonosító: CIS Microsoft Azure Foundations Benchmark recommendation 1.1 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a többtényezős hitelesítés minden nem jogosultsággal rendelkező felhasználó számára engedélyezve van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.2 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy nincsenek vendégfelhasználók
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.3 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
2 Security Center
Győződjön meg arról, hogy a standard tarifacsomag van kiválasztva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.1 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
Engedélyezni kell a Microsoft Defender for Storage (klasszikus) használatát | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Disabled | 1.0.4 |
Győződjön meg arról, hogy az ASC alapértelmezett házirendbeállítása ,,A JIT hálózati hozzáférés figyelése" nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.12 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy az ASC alapértelmezett szabályzatbeállítása az "Adaptív alkalmazás engedélyezési listájának figyelése" nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.13 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezheti az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, amikor más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy az ASC alapértelmezett szabályzatbeállítása ,,Az SQL-naplózás monitorozása" nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.14 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
Győződjön meg arról, hogy az ASC alapértelmezett szabályzatbeállítása ,,Az SQL-titkosítás monitorozása" nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.15 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
Győződjön meg arról, hogy be van állítva a "Biztonsági kapcsolattartó e-mailjei" beállítás
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.16 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Győződjön meg arról, hogy az "E-mail-értesítés küldése a nagy súlyosságú riasztásokhoz" beállítás be van kapcsolva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.18 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.0.1 |
Győződjön meg arról, hogy az "E-mail küldése az előfizetés tulajdonosainak is" beállítás be van kapcsolva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.19 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.0.0 |
Győződjön meg arról, hogy a "Monitorozási ügynök automatikus kiépítése" beállítás be van kapcsolva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.2 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben | A biztonsági rések és fenyegetések monitorozásához az Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus üzembe helyezést az ügynök automatikus üzembe helyezéséhez az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. | AuditIfNotExists, Disabled | 1.0.1 |
Győződjön meg arról, hogy a "Rendszer figyelése Frissítések" ASC alapértelmezett házirendbeállítása nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.3 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A rendszerfrissítéseket telepíteni kell a gépekre | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit az Azure Security Center ajánlásként figyeli | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy az ASC alapértelmezett házirendbeállítása "Az operációs rendszer biztonsági réseinek figyelése" nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.4 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
Győződjön meg arról, hogy a "Monitor Endpoint Protection" alapértelmezett házirend-beállítás nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.5 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Hiányzó Endpoint Protection monitorozása az Azure Security Centerben | A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat az Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 3.1.0 |
Győződjön meg arról, hogy a "Lemeztitkosítás monitorozása" alapértelmezett házirend-beállítás nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.6 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Győződjön meg arról, hogy a következő generációs tűzfal (NGFW) monitorozásának engedélyezése az ASC alapértelmezett házirendbeállítása nem "Letiltva"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.9 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
3 Tárfiókok
Győződjön meg arról, hogy a "Biztonságos átvitel szükséges" beállítás "Engedélyezve" értékre van állítva
Azonosító: CIS Microsoft Azure Foundations Benchmark recommendation 3.1 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
Győződjön meg arról, hogy a tárfiókok alapértelmezett hálózati hozzáférési szabálya elutasításra van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 3.7 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
Győződjön meg arról, hogy a "Megbízható Microsoft-szolgáltatások" engedélyezve van a tárfiók-hozzáféréshez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 3.8 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A tárfiókok számára engedélyezni kell a hozzáférést a megbízható Microsoft-szolgáltatások | Egyes Microsoft-szolgáltatások, amelyek a tárfiókokat használják, olyan hálózatokból működnek, amelyek hálózati szabályokkal nem tudnak hozzáférést biztosítani. Az ilyen típusú szolgáltatás rendeltetésszerű működéséhez engedélyezze, hogy a megbízható Microsoft-szolgáltatások megkerüljék a hálózati szabályokat. Ezek a szolgáltatások ezután erős hitelesítést használnak a tárfiók eléréséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
4 Adatbázis-szolgáltatások
Győződjön meg arról, hogy a naplózás be van kapcsolva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.1 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
Győződjön meg arról, hogy az SQL Server TDE-védelme BYOK-tal van titkosítva (Saját kulcs használata)
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.10 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.0 |
Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.1 |
Győződjön meg arról, hogy az SSL-kapcsolat kényszerítése engedélyezve van a MySQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.11 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
Győződjön meg arról, hogy az "log_checkpoints" kiszolgálóparaméter "ON" értékre van állítva a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.12 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A naplóellenőrzési pontokat engedélyezni kell a PostgreSQL-adatbáziskiszolgálókhoz | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van log_checkpoints beállítás. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az SSL-kapcsolat kényszerítése engedélyezve van a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.13 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
Győződjön meg arról, hogy az "log_connections" kiszolgálóparaméter "ON" értékre van állítva a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.14 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A naplókapcsolatokat engedélyezni kell a PostgreSQL-adatbáziskiszolgálókhoz | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van log_connections beállítás. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az "log_disconnections" kiszolgálóparaméter "ON" értékre van állítva a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.15 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A leválasztást a PostgreSQL-adatbáziskiszolgálók esetében kell naplózni. | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve log_disconnections. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az "connection_throttling" kiszolgálóparaméter "ON" értékre van állítva a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.17 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Csatlakozás szabályozást engedélyezni kell a PostgreSQL-adatbáziskiszolgálók számára | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van Csatlakozás szabályozás. Ez a beállítás lehetővé teszi az ip-címenkénti ideiglenes kapcsolatszabályozást túl sok érvénytelen jelszó-bejelentkezési hiba esetén. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az "AuditActionGroups" az SQL Server naplózási szabályzatában megfelelően van beállítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.2 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az SQL-naplózási beállításoknak konfigurálniuk kell a kritikus tevékenységek rögzítésére szolgáló műveletcsoportokat | Az AuditActionsAndGroups tulajdonságnak legalább SUCCESSFUL_DATABA Standard kiadás_AUTHENTICATION_GROUP, FAILED_DATABA Standard kiadás_AUTHENTICATION_GROUP BATCH_COMPLETED_GROUP kell tartalmaznia az alapos naplózás biztosítása érdekében | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a naplózási adatmegőrzés "90 napnál hosszabb"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni | Incidensvizsgálati célokból javasoljuk, hogy az SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy az SQL Server "Advanced Data Security" értéke "Be"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.4 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
Győződjön meg arról, hogy az Azure Active Directory Rendszergazda konfigurálva van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.8 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az "Adattitkosítás" be van kapcsolva egy SQL Database-ben
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.9 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
5 Naplózás és figyelés
Győződjön meg arról, hogy létezik naplóprofil
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.1 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az Azure-előfizetéseknek naplóprofillal kell rendelkezniük a tevékenységnaplóhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil engedélyezve legyen-e a tevékenységnaplók exportálásához. Naplózza, ha nem jött létre naplóprofil a naplók tárfiókba vagy eseményközpontba való exportálásához. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a tevékenységnapló megőrzési ideje 365 nap vagy nagyobb
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.2 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A tevékenységnaplót legalább egy évig meg kell őrizni | Ez a szabályzat naplózza a tevékenységnaplót, ha a megőrzés nincs beállítva 365 napra vagy örökre (a megőrzési napok értéke 0). | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az auditprofil rögzíti az összes tevékenységet
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.3 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az Azure Monitor naplóprofiljának naplókat kell gyűjtenie az "írás", a "törlés" és a "művelet" kategóriákhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil gyűjtsön naplókat az "írás", a "törlés" és a "művelet" kategóriákhoz | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a naplóprofil minden régióban rögzíti a tevékenységnaplókat, beleértve a globálist is
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.4 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az Azure Monitornak minden régióból be kell gyűjtenie a tevékenységnaplókat | Ez a szabályzat naplózza az Azure Monitor naplóprofilt, amely nem exportál tevékenységeket az összes Azure-támogatás régióból, beleértve a globálist is. | AuditIfNotExists, Disabled | 2.0.0 |
Győződjön meg arról, hogy a tevékenységnaplókkal rendelkező tárolót tartalmazó tárfiók titkosítva van a BYOK használatával (saját kulcs használata)
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.6 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A tevékenységnaplókkal rendelkező tárolót tartalmazó tárfiókot BYOK-tal kell titkosítani | Ez a szabályzat naplózza, hogy a tevékenységnaplókkal rendelkező tárolót tartalmazó Storage-fiók titkosítva van-e a BYOK-tal. A szabályzat csak akkor működik, ha a tárfiók ugyanazon az előfizetésen található, mint a tevékenységnaplók. További információt az Azure Storage inaktív titkosításáról itt https://aka.ms/azurestoragebyoktalál. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az Azure KeyVault naplózása engedélyezve van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.7 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
Ellenőrizze, hogy létezik-e tevékenységnapló-riasztás a szabályzat-hozzárendelés létrehozásához
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.1 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Tevékenységnapló-riasztásnak kell léteznie adott szabályzatműveletekhez | Ez a szabályzat naplózza az adott szabályzatműveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a hálózati biztonsági csoport létrehozásához vagy frissítéséhez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.2 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a hálózati biztonsági csoport törlésekor
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.3 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a hálózati biztonsági csoport szabályának létrehozásához vagy frissítéséhez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.4 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a Hálózati biztonsági csoport törlése szabályhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.5 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a biztonsági megoldás létrehozásához vagy frissítéséhez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.6 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a biztonsági megoldás törlésekor
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.7 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Ellenőrizze, hogy létezik-e tevékenységnapló-riasztás az SQL Server tűzfalszabályának létrehozásához vagy frissítéséhez vagy törléséhez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.8 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Ellenőrizze, hogy létezik-e tevékenységnapló-riasztás a frissítési biztonsági szabályzathoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.9 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
6 Hálózatkezelés
Győződjön meg arról, hogy a Network Watcher engedélyezve van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 6.5 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
7 Virtuális gépek
Győződjön meg arról, hogy az operációsrendszer-lemez titkosítva van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 7.1 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Győződjön meg arról, hogy az adatlemezek titkosítva vannak
Id: CIS Microsoft Azure Foundations Benchmark recommendation 7.2 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Győződjön meg arról, hogy csak a jóváhagyott bővítmények vannak telepítve
Id: CIS Microsoft Azure Foundations Benchmark recommendation 7.4 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Csak jóváhagyott virtuálisgép-bővítményeket kell telepíteni | Ez a szabályzat a nem jóváhagyott virtuálisgép-bővítményeket szabályozza. | Naplózás, megtagadás, letiltva | 1.0.0 |
Győződjön meg arról, hogy az összes virtuális gép legújabb operációsrendszer-javításai telepítve vannak
Id: CIS Microsoft Azure Foundations Benchmark recommendation 7.5 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A rendszerfrissítéseket telepíteni kell a gépekre | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit az Azure Security Center ajánlásként figyeli | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy az összes virtuális gép végpontvédelme telepítve van
Azonosító: CIS Microsoft Azure Foundations Benchmark recommendation 7.6 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Hiányzó Endpoint Protection monitorozása az Azure Security Centerben | A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat az Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 3.1.0 |
8 Egyéb biztonsági szempontok
Győződjön meg arról, hogy a kulcstartó helyreállítható
Id: CIS Microsoft Azure Foundations Benchmark recommendation 8.4 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
A kulcstartók törlés elleni védelmének engedélyezve kell lennie | A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. | Naplózás, megtagadás, letiltva | 2.1.0 |
Szerepköralapú hozzáférés-vezérlés (RBAC) engedélyezése az Azure Kubernetes Servicesben
Id: CIS Microsoft Azure Foundations Benchmark recommendation 8.5 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | A felhasználók által végrehajtható műveletek részletes szűréséhez használja az Azure Szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.3 |
9 AppService
Győződjön meg arról, hogy az App Service-hitelesítés be van állítva Azure-alkalmazás szolgáltatásban
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.1 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az App Service-alkalmazásoknak engedélyezniük kell a hitelesítést | Azure-alkalmazás szolgáltatáshitelesítés olyan szolgáltatás, amely megakadályozhatja, hogy a névtelen HTTP-kérések elérjék a webalkalmazást, vagy hitelesítsék a jogkivonatokkal rendelkezőket, mielőtt elérnék a webalkalmazást. | AuditIfNotExists, Disabled | 2.0.1 |
A függvényalkalmazásoknak engedélyezniük kell a hitelesítést | Azure-alkalmazás szolgáltatáshitelesítés olyan szolgáltatás, amely megakadályozhatja, hogy a névtelen HTTP-kérések elérjék a függvényalkalmazást, vagy hitelesítsék azokat, amelyek jogkivonatokkal rendelkeznek a függvényalkalmazás elérése előtt. | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy a "HTTP-verzió" a legújabb, ha a webalkalmazás futtatásához használják
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.10 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
A függvényalkalmazások a legújabb HTTP-verziót használják | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
Győződjön meg arról, hogy a webalkalmazás átirányítja az összes HTTP-forgalmat a HTTPS-hez Azure-alkalmazás Szolgáltatásban
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.2 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
Győződjön meg arról, hogy a webalkalmazás a TLS-titkosítás legújabb verzióját használja
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.3 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
Győződjön meg arról, hogy a webalkalmazás "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" értéke "Be"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.4 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
[Elavult]: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" funkciót | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a szabályzatot egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. | Naplózás, letiltva | 3.1.0-elavult |
Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az Azure Active Directory regisztrációja engedélyezve van az App Service-ben
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.5 Ownership: Shared
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
Következő lépések
További cikkek az Azure Policyról:
- A jogszabályi megfelelőség áttekintése.
- Tekintse meg a kezdeményezés definíciós struktúráját.
- Tekintse át az Azure Policy-minták egyéb példáit.
- A Szabályzatok hatásainak ismertetése.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.