A CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government) szabályozási megfelelőség beépített kezdeményezésének részletei
Az alábbi cikk azt ismerteti, hogy az Azure Policy Regulatory Compliance beépített kezdeményezésdefiníciója hogyan képez le megfelelőségi tartományokat és -vezérlőket a CIS Microsoft Azure Foundations Benchmark 1.3.0 (Azure Government) alkalmazásban. A megfelelőségi szabványról további információt a CIS Microsoft Azure Foundations Benchmark 1.3.0 című témakörben talál. A tulajdonjog megismeréséhez tekintse meg az Azure Policy szabályzatdefinícióját és a felhő megosztott felelősségét.
Az alábbi leképezések a CIS Microsoft Azure Foundations Benchmark 1.3.0-s vezérlőihez tartoznak . Számos vezérlő egy Azure Policy-kezdeményezési definícióval van implementálva. A kezdeményezés teljes definíciójának áttekintéséhez nyissa meg a Szabályzatot az Azure Portalon, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki a CIS Microsoft Azure Foundations Benchmark v1.3.0 szabályozási megfelelőség beépített kezdeményezési definícióját.
Fontos
Az alábbi vezérlők egy vagy több Azure Policy-definícióhoz lesznek társítva. Ezek a szabályzatok segíthetnek felmérni a vezérlőnek való megfelelőséget , azonban gyakran nem egy az egyhez vagy teljes egyezés van egy vezérlő és egy vagy több szabályzat között. Így az Azure Policy-beli megfelelőség csak magukra a szabályzatdefiníciókra vonatkozik; ez nem biztosítja, hogy teljes mértékben megfeleljen a vezérlők minden követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy-definíció sem kezel. Ezért az Azure Policy megfelelősége csak részlegesen tekinti át a teljes megfelelőségi állapotot. A megfelelőségi tartomány, a vezérlők és az Azure Policy-definíciók közötti társítások idővel változhatnak. A változáselőzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.
1 Identitás- és hozzáférés-kezelés
Győződjön meg arról, hogy a többtényezős hitelesítés minden kiemelt felhasználó számára engedélyezve van
Azonosító: CIS Microsoft Azure Foundations Benchmark recommendation 1.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a többtényezős hitelesítés minden nem jogosultsággal rendelkező felhasználó számára engedélyezve van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a vendégfelhasználók havi rendszerességgel vannak felülvizsgálva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 1.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
2 Security Center
Győződjön meg arról, hogy az Azure Defender be van kapcsolva a kiszolgálókhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
Győződjön meg arról, hogy a "Monitorozási ügynök automatikus kiépítése" beállítás be van kapcsolva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.11 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben | A biztonsági rések és fenyegetések monitorozásához az Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus üzembe helyezést az ügynök automatikus üzembe helyezéséhez az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. | AuditIfNotExists, Disabled | 1.0.1 |
Győződjön meg arról, hogy a "További e-mail-címek" beállítás biztonsági kapcsolattartó e-mail-címmel van konfigurálva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.13 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Győződjön meg arról, hogy a "Riasztások értesítése a következő súlyosságú riasztásokról" beállítás "Magas" értékre van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.14 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.0.1 |
Győződjön meg arról, hogy az Azure Defender be van kapcsolva az Azure SQL-adatbáziskiszolgálókhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
Győződjön meg arról, hogy az Azure Defender Be for Storage értékre van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a Microsoft Defender for Storage (klasszikus) használatát | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | AuditIfNotExists, Disabled | 1.0.4 |
Győződjön meg arról, hogy az Azure Defender be van kapcsolva a Kuberneteshez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.6 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az Azure Defender be van kapcsolva a tárolóregisztrációs adatbázisokhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 2.7 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
3 Tárfiókok
Győződjön meg arról, hogy a "Biztonságos átvitel szükséges" beállítás "Engedélyezve" értékre van állítva
Azonosító: CIS Microsoft Azure Foundations Benchmark recommendation 3.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
Győződjön meg arról, hogy a tárfiókok alapértelmezett hálózati hozzáférési szabálya elutasításra van állítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 3.6 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést | Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. | Naplózás, megtagadás, letiltva | 1.0.1 |
Győződjön meg arról, hogy a "Megbízható Microsoft-szolgáltatások" engedélyezve van a tárfiók-hozzáféréshez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 3.7 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A tárfiókok számára engedélyezni kell a hozzáférést a megbízható Microsoft-szolgáltatások | Egyes Microsoft-szolgáltatások, amelyek a tárfiókokat használják, olyan hálózatokból működnek, amelyek hálózati szabályokkal nem tudnak hozzáférést biztosítani. Az ilyen típusú szolgáltatás rendeltetésszerű működéséhez engedélyezze, hogy a megbízható Microsoft-szolgáltatások megkerüljék a hálózati szabályokat. Ezek a szolgáltatások ezután erős hitelesítést használnak a tárfiók eléréséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
Győződjön meg arról, hogy a kritikus fontosságú adatok tárolása ügyfél által felügyelt kulccsal van titkosítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 3.9 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A tárfiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | A blob- és fájltárolási fiók védelme nagyobb rugalmassággal az ügyfél által felügyelt kulcsok használatával. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, letiltva | 1.0.3 |
4 Adatbázis-szolgáltatások
Győződjön meg arról, hogy a naplózás be van kapcsolva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
Győződjön meg arról, hogy az "Adattitkosítás" be van kapcsolva egy SQL Database-ben
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
Győződjön meg arról, hogy a naplózási adatmegőrzés "90 napnál hosszabb"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.1.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni | Incidensvizsgálati célokból javasoljuk, hogy az SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy az Advanced Threat Protection (ATP) az SQL Serveren engedélyezve van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
Győződjön meg arról, hogy a biztonságirés-felmérés (VA) engedélyezve van egy SQL Serveren egy tárfiók beállításával
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.2.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy az SSL-kapcsolat kényszerítése engedélyezve van a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
Győződjön meg arról, hogy az SSL-kapcsolat kényszerítése engedélyezve van a MySQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
Győződjön meg arról, hogy az "log_checkpoints" kiszolgálóparaméter "ON" értékre van állítva a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A naplóellenőrzési pontokat engedélyezni kell a PostgreSQL-adatbáziskiszolgálókhoz | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van log_checkpoints beállítás. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az "log_connections" kiszolgálóparaméter "ON" értékre van állítva a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A naplókapcsolatokat engedélyezni kell a PostgreSQL-adatbáziskiszolgálókhoz | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van log_connections beállítás. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az "log_disconnections" kiszolgálóparaméter "ON" értékre van állítva a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A leválasztást a PostgreSQL-adatbáziskiszolgálók esetében kell naplózni. | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve log_disconnections. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az "connection_throttling" kiszolgálóparaméter "ON" értékre van állítva a PostgreSQL-adatbáziskiszolgálóhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.3.6 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Csatlakozás szabályozást engedélyezni kell a PostgreSQL-adatbáziskiszolgálók számára | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van Csatlakozás szabályozás. Ez a beállítás lehetővé teszi az ip-címenkénti ideiglenes kapcsolatszabályozást túl sok érvénytelen jelszó-bejelentkezési hiba esetén. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az Azure Active Directory Rendszergazda konfigurálva van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az SQL Server TDE-védelme ügyfél által felügyelt kulccsal van titkosítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 4.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.1 |
5 Naplózás és figyelés
Győződjön meg arról, hogy a tevékenységnaplókkal rendelkező tárolót tartalmazó tárfiók titkosítva van a BYOK használatával (saját kulcs használata)
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A tevékenységnaplókkal rendelkező tárolót tartalmazó tárfiókot BYOK-tal kell titkosítani | Ez a szabályzat naplózza, hogy a tevékenységnaplókkal rendelkező tárolót tartalmazó Storage-fiók titkosítva van-e a BYOK-tal. A szabályzat csak akkor működik, ha a tárfiók ugyanazon az előfizetésen található, mint a tevékenységnaplók. További információt az Azure Storage inaktív titkosításáról itt https://aka.ms/azurestoragebyoktalál. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az Azure KeyVault naplózása engedélyezve van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.1.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
Ellenőrizze, hogy létezik-e tevékenységnapló-riasztás a szabályzat-hozzárendelés létrehozásához
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tevékenységnapló-riasztásnak kell léteznie adott szabályzatműveletekhez | Ez a szabályzat naplózza az adott szabályzatműveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 3.0.0 |
Ellenőrizze, hogy létezik-e tevékenységnapló-riasztás a szabályzat-hozzárendelés törlésekor
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tevékenységnapló-riasztásnak kell léteznie adott szabályzatműveletekhez | Ez a szabályzat naplózza az adott szabályzatműveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a hálózati biztonsági csoport létrehozásához vagy frissítéséhez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a hálózati biztonsági csoport törlésekor
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a hálózati biztonsági csoport szabályának létrehozásához vagy frissítéséhez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a Hálózati biztonsági csoport törlése szabályhoz
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.6 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a biztonsági megoldás létrehozásához vagy frissítéséhez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.7 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a tevékenységnapló-riasztás létezik a biztonsági megoldás törlésekor
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.8 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Ellenőrizze, hogy létezik-e tevékenységnapló-riasztás az SQL Server tűzfalszabályának létrehozásához vagy frissítéséhez vagy törléséhez
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.2.9 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy a diagnosztikai naplók engedélyezve vannak az azt támogató összes szolgáltatáshoz.
Id: CIS Microsoft Azure Foundations Benchmark recommendation 5.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 2.0.1 |
| Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az Event Hubban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Logic Appsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.1.0 |
| Engedélyezni kell a Search szolgáltatás erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Service Busban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
6 Hálózatkezelés
Győződjön meg arról, hogy a Network Watcher engedélyezve van
Id: CIS Microsoft Azure Foundations Benchmark recommendation 6.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
7 Virtuális gépek
Győződjön meg arról, hogy a virtuális gépek felügyelt lemezeket használnak
Id: CIS Microsoft Azure Foundations Benchmark recommendation 7.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Felügyelt lemezeket nem használó virtuális gépek naplózása | Ez a szabályzat a felügyelt lemezeket nem használó virtuális gépeket naplózza | naplózás | 1.0.0 |
Győződjön meg arról, hogy az operációs rendszer és az adatok lemezei CMK-val vannak titkosítva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 7.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Győződjön meg arról, hogy csak a jóváhagyott bővítmények vannak telepítve
Id: CIS Microsoft Azure Foundations Benchmark recommendation 7.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Csak jóváhagyott virtuálisgép-bővítményeket kell telepíteni | Ez a szabályzat a nem jóváhagyott virtuálisgép-bővítményeket szabályozza. | Naplózás, megtagadás, letiltva | 1.0.0 |
Győződjön meg arról, hogy az összes virtuális gép legújabb operációsrendszer-javításai telepítve vannak
Id: CIS Microsoft Azure Foundations Benchmark recommendation 7.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A rendszerfrissítéseket telepíteni kell a gépekre | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit az Azure Security Center ajánlásként figyeli | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy az összes virtuális gép végpontvédelme telepítve van
Azonosító: CIS Microsoft Azure Foundations Benchmark recommendation 7.6 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hiányzó Endpoint Protection monitorozása az Azure Security Centerben | A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat az Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 3.1.0 |
8 Egyéb biztonsági szempontok
Győződjön meg arról, hogy a kulcstartó helyreállítható
Id: CIS Microsoft Azure Foundations Benchmark recommendation 8.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A kulcstartók törlés elleni védelmének engedélyezve kell lennie | A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. | Naplózás, megtagadás, letiltva | 2.1.0 |
Szerepköralapú hozzáférés-vezérlés (RBAC) engedélyezése az Azure Kubernetes Servicesben
Id: CIS Microsoft Azure Foundations Benchmark recommendation 8.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | A felhasználók által végrehajtható műveletek részletes szűréséhez használja az Azure Szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.3 |
9 AppService
Győződjön meg arról, hogy az App Service-hitelesítés be van állítva Azure-alkalmazás szolgáltatásban
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.1 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak engedélyezniük kell a hitelesítést | Azure-alkalmazás szolgáltatáshitelesítés olyan szolgáltatás, amely megakadályozhatja, hogy a névtelen HTTP-kérések elérjék a webalkalmazást, vagy hitelesítsék a jogkivonatokkal rendelkezőket, mielőtt elérnék a webalkalmazást. | AuditIfNotExists, Disabled | 2.0.1 |
| A függvényalkalmazásoknak engedélyezniük kell a hitelesítést | Azure-alkalmazás szolgáltatáshitelesítés olyan szolgáltatás, amely megakadályozhatja, hogy a névtelen HTTP-kérések elérjék a függvényalkalmazást, vagy hitelesítsék azokat, amelyek jogkivonatokkal rendelkeznek a függvényalkalmazás elérése előtt. | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy az FTP-telepítések le vannak tiltva
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.10 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy a webalkalmazás átirányítja az összes HTTP-forgalmat a HTTPS-hez Azure-alkalmazás Szolgáltatásban
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.2 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
Győződjön meg arról, hogy a webalkalmazás a TLS-titkosítás legújabb verzióját használja
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.3 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
Győződjön meg arról, hogy a webalkalmazás "Ügyféltanúsítványok (bejövő ügyféltanúsítványok)" értéke "Be"
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.4 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" funkciót | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a szabályzatot egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. | Naplózás, letiltva | 3.1.0-elavult |
| Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
Győződjön meg arról, hogy az Azure Active Directory regisztrációja engedélyezve van az App Service-ben
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.5 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
Győződjön meg arról, hogy a "HTTP-verzió" a legújabb, ha a webalkalmazás futtatásához használják
Id: CIS Microsoft Azure Foundations Benchmark recommendation 9.9 Ownership: Shared
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| A függvényalkalmazások a legújabb HTTP-verziót használják | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
Következő lépések
További cikkek az Azure Policyról:
- A jogszabályi megfelelőség áttekintése.
- Tekintse meg a kezdeményezés definíciós struktúráját.
- Tekintse át az Azure Policy-minták egyéb példáit.
- A Szabályzatok hatásainak ismertetése.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.