Az Indiai TartalékBank – Az NBFC szabályozási megfelelőségre vonatkozó informatikai keretrendszerének részletes ismertetése – beépített kezdeményezés
Az alábbi cikk bemutatja, hogyan képezi le az Azure Policy Regulatory Compliance beépített kezdeményezésdefiníciója a megfelelőségi tartományokra és -vezérlőkre az Indiai Tartalék Bank – NBFC informatikai keretrendszerében. További információ erről a megfelelőségi szabványról: Reserve Bank of India – It Framework for NBFC. A tulajdonjog megismeréséhez tekintse meg az Azure Policy szabályzatdefinícióját és a felhő megosztott felelősségét.
Az alábbi leképezések az Indiai Tartalék Bank – NBFC-vezérlők informatikai keretrendszeréhez tartoznak. Számos vezérlő egy Azure Policy-kezdeményezési definícióval van implementálva. A kezdeményezés teljes definíciójának áttekintéséhez nyissa meg a Szabályzatot az Azure Portalon, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki az [Előzetes verzió]: Reserve Bank of India – It Framework for NBFC Regulatory Compliance built-in initiative definition.
Fontos
Az alábbi vezérlők egy vagy több Azure Policy-definícióhoz lesznek társítva. Ezek a szabályzatok segíthetnek felmérni a vezérlőnek való megfelelőséget , azonban gyakran nem egy az egyhez vagy teljes egyezés van egy vezérlő és egy vagy több szabályzat között. Így az Azure Policy-beli megfelelőség csak magukra a szabályzatdefiníciókra vonatkozik; ez nem biztosítja, hogy teljes mértékben megfeleljen a vezérlők minden követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy-definíció sem kezel. Ezért az Azure Policy megfelelősége csak részlegesen tekinti át a teljes megfelelőségi állapotot. A megfelelőségi tartomány, a vezérlők és az Azure Policy-definíciók közötti társítások idővel változhatnak. A változáselőzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.
Informatikai irányítás
IT Governance-1
Azonosító: RBI IT-keretrendszer 1
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.1.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | Frissítse a Kubernetes-szolgáltatásfürtöt egy későbbi Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés ki lett javítva a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verziójában | Naplózás, letiltva | 1.0.2 |
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | AuditIfNotExists, Disabled | 4.1.0 |
| A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie | Az SQL biztonsági rések felmérése biztonsági réseket keres az adatbázisban, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. | AuditIfNotExists, Disabled | 1.0.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
| A virtuálisgép-méretezési csoportok rendszerfrissítéseit telepíteni kell | Naplózza az esetleges hiányzó biztonsági rendszerfrissítéseket és kulcsfontosságú frissítéseket, amelyeket telepíteni kell, hogy Windows és Linux rendszerű virtuálisgép-méretezési csoportjai biztonságban legyenek. | AuditIfNotExists, Disabled | 3.0.0 |
| A rendszerfrissítéseket telepíteni kell a gépekre | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit az Azure Security Center ajánlásként figyeli | AuditIfNotExists, Disabled | 4.0.0 |
| A tároló biztonsági konfigurációinak biztonsági réseit orvosolni kell | A biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken a Docker telepítve van, és javaslatokként jelenik meg az Azure Security Centerben. | AuditIfNotExists, Disabled | 3.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
| A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell | Ellenőrizze a virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseit, hogy megvédje őket a támadásoktól. | AuditIfNotExists, Disabled | 3.0.0 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
IT Governance-1.1
Azonosító: RBI IT-keretrendszer 1.1
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
Informatikai szabályzat
IT Policy-2
Azonosító: RBI IT-keretrendszer 2
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezheti az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, amikor más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Disabled | 3.0.0 |
| Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait | Figyelheti az Azure Security Center adaptív alkalmazásvezérlői által naplózásra konfigurált gépcsoportok viselkedésének változásait. A Security Center gépi tanulással elemzi a gépeken futó folyamatokat, és javaslatot tesz az ismerten biztonságos alkalmazások listájára. Ezek ajánlott alkalmazásként jelennek meg az adaptív alkalmazásvezérlési szabályzatok engedélyezéséhez. | AuditIfNotExists, Disabled | 3.0.0 |
Információ és kiberbiztonság
Information Security-3
Azonosító: RBI IT-keretrendszer 3
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
Az információs eszközök azonosítása és besorolása–3.1
Azonosító: RBI IT-keretrendszer 3.1.a
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | A felhasználók által végrehajtható műveletek részletes szűréséhez használja az Azure Szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.3 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
A Functions-3.1 elkülönítése
Azonosító: RBI IT-keretrendszer 3.1.b
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" funkciót | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a szabályzatot egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. | Naplózás, letiltva | 3.1.0-elavult |
| [Előzetes verzió]: A biztonságos rendszerindítást engedélyezni kell a támogatott Windows rendszerű virtuális gépeken | Engedélyezze a biztonságos rendszerindítást a támogatott Windows rendszerű virtuális gépeken, hogy elhárítsa a rendszerindítási lánc rosszindulatú és jogosulatlan módosításait. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | Naplózás, letiltva | 4.0.0-előzetes verzió |
| [Előzetes verzió]: a vTPM-et engedélyezni kell a támogatott virtuális gépeken | Engedélyezze a virtuális TPM-eszközt a támogatott virtuális gépeken, hogy megkönnyítse a mért rendszerindítást és más, TPM-t igénylő operációsrendszer-biztonsági funkciókat. Ha engedélyezve van, a vTPM használható a rendszerindítás integritásának igazolására. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik. | Naplózás, letiltva | 2.0.0-előzetes verzió |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Szerepköralapú hozzáférés-vezérlés–3.1
Azonosító: RBI IT-keretrendszer 3.1.c
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | A felhasználók által végrehajtható műveletek részletes szűréséhez használja az Azure Szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.3 |
| Az Azure-előfizetéseknek naplóprofillal kell rendelkezniük a tevékenységnaplóhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil engedélyezve legyen-e a tevékenységnaplók exportálásához. Naplózza, ha nem jött létre naplóprofil a naplók tárfiókba vagy eseményközpontba való exportálásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
| Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. | AuditIfNotExists, Disabled | 3.0.0 |
Maker-checker-3.1
Azonosító: RBI IT-keretrendszer 3.1.f
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defendert a nyílt forráskódú relációs adatbázisokhoz | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről a következő címen https://aka.ms/AzDforOpenSourceDBsDocu: . Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.1.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Trails-3.1
Azonosító: RBI IT-keretrendszer 3.1.g
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A Log Analytics-bővítményt engedélyezni kell a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuális gépeket, ha a virtuális gép lemezképe nincs a definiált listában, és a bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| A tevékenységnaplót legalább egy évig meg kell őrizni | Ez a szabályzat naplózza a tevékenységnaplót, ha a megőrzés nincs beállítva 365 napra vagy örökre (a megőrzési napok értéke 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Minden folyamatnapló-erőforrásnak engedélyezett állapotban kell lennie | Naplóerőforrások naplózása annak ellenőrzéséhez, hogy engedélyezve van-e a folyamatnapló állapota. A folyamatnaplók engedélyezésével naplózhatja az IP-forgalommal kapcsolatos információkat. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.0.1 |
| Az alkalmazás Elemzések összetevőinek blokkolnia kell a naplóbetöltést és a nyilvános hálózatokról való lekérdezést | Az alkalmazásbiztonság Elemzések javítása a naplóbetöltés és a nyilvános hálózatokról való lekérdezés letiltásával. Ennek az összetevőnek a naplóit csak a privát kapcsolattal rendelkező hálózatok tudják majd beszedni és lekérdezni. További információ: https://aka.ms/AzMonPrivateLink#configure-application-insights. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben | A biztonsági rések és fenyegetések monitorozásához az Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus üzembe helyezést az ügynök automatikus üzembe helyezéséhez az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defendert a nyílt forráskódú relációs adatbázisokhoz | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről a következő címen https://aka.ms/AzDforOpenSourceDBsDocu: . Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt | A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Ha engedélyezi a SecurityProfile.AzureDefender szolgáltatást az Azure Kubernetes Service-fürtön, a rendszer egy ügynököt helyez üzembe a fürtben a biztonsági események adatainak gyűjtéséhez. További információ a Microsoft Defender for Containers szolgáltatásról https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Naplózás, letiltva | 2.0.1 |
| Az Azure Monitor naplóprofiljának naplókat kell gyűjtenie az "írás", a "törlés" és a "művelet" kategóriákhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil gyűjtsön naplókat az "írás", a "törlés" és a "művelet" kategóriákhoz | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Monitor Naplófürtöket úgy kell létrehozni, hogy engedélyezve legyen az infrastruktúra-titkosítás (dupla titkosítás) | Annak érdekében, hogy a biztonságos adattitkosítás szolgáltatásszinten és infrastruktúraszinten engedélyezve legyen két különböző titkosítási algoritmussal és két különböző kulcssal, használjon dedikált Azure Monitor-fürtöt. Ez a beállítás alapértelmezés szerint engedélyezve van, ha a régióban támogatott, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Monitor-naplófürtöket ügyfél által felügyelt kulccsal kell titkosítani | Azure Monitor-naplófürt létrehozása ügyfél által felügyelt kulcsok titkosításával. Alapértelmezés szerint a naplóadatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsok általában szükségesek a jogszabályi megfelelőség teljesítéséhez. Az Azure Monitor ügyfél által felügyelt kulcsa nagyobb mértékben szabályozhatja az adatokhoz való hozzáférést, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Monitor alkalmazásnaplóit Elemzések egy Log Analytics-munkaterülethez kell csatolni | Csatolja az Alkalmazás Elemzések összetevőt egy Log Analytics-munkaterülethez a naplók titkosításához. Az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőség teljesítéséhez és az adatokhoz való hozzáférés az Azure Monitorban való hatékonyabb ellenőrzéséhez. Ha az összetevőt egy ügyfél által felügyelt kulccsal engedélyezett Log Analytics-munkaterülethez csatolja, biztosítja, hogy az alkalmazás Elemzések naplói megfeleljenek ennek a megfelelőségi követelménynek.https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Monitornak minden régióból be kell gyűjtenie a tevékenységnaplókat | Ez a szabályzat naplózza az Azure Monitor naplóprofilt, amely nem exportál tevékenységeket az összes Azure-támogatás régióból, beleértve a globálist is. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure-előfizetéseknek naplóprofillal kell rendelkezniük a tevékenységnaplóhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil engedélyezve legyen-e a tevékenységnaplók exportálásához. Naplózza, ha nem jött létre naplóprofil a naplók tárfiókba vagy eseményközpontba való exportálásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A leválasztást a PostgreSQL-adatbáziskiszolgálók esetében kell naplózni. | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve log_disconnections. | AuditIfNotExists, Disabled | 1.0.0 |
| A folyamatnaplókat minden hálózati biztonsági csoporthoz konfigurálni kell | Hálózati biztonsági csoportok naplózása annak ellenőrzéséhez, hogy a folyamatnaplók konfigurálva vannak-e. A folyamatnaplók engedélyezésével naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.1.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuális gépre az Azure Security Center monitorozásához | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket (VM-eket), ha a Log Analytics-ügynök nincs telepítve, amelyet a Security Center a biztonsági rések és fenyegetések figyelésére használ | AuditIfNotExists, Disabled | 1.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra az Azure Security Center monitorozásához | A Security Center adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A Log Analytics-bővítményt engedélyezni kell a virtuálisgép-méretezési csoportokban a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuálisgép-méretezési csoportokat, ha a virtuális gép lemezképe nem szerepel a definiált listában, és a bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 2.0.1 |
| A Log Analytics-munkaterületeknek blokkolnia kell a naplóbetöltést és a nyilvános hálózatokról való lekérdezést | A munkaterület biztonságának javítása a naplóbetöltés és a nyilvános hálózatokról való lekérdezés letiltásával. Ezen a munkaterületen csak a privát kapcsolattal rendelkező hálózatok tudnak naplókat beszedni és lekérdezni. További információ: https://aka.ms/AzMonPrivateLink#configure-log-analytics. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| A Log Analytics-munkaterületeknek blokkolnia kell a nem Azure Active Directory-alapú betöltést. | A naplóbetöltés kényszerítése az Azure Active Directory-hitelesítés megkövetelése érdekében megakadályozza, hogy a támadó nem hitelesített naplókat használjon, amelyek helytelen állapothoz, téves riasztásokhoz és helytelen naplókhoz vezethetnek a rendszerben. | Megtagadás, naplózás, letiltva | 1.0.0 |
| A naplóellenőrzési pontokat engedélyezni kell a PostgreSQL-adatbáziskiszolgálókhoz | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van log_checkpoints beállítás. | AuditIfNotExists, Disabled | 1.0.0 |
| A naplókapcsolatokat engedélyezni kell a PostgreSQL-adatbáziskiszolgálókhoz | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van log_connections beállítás. | AuditIfNotExists, Disabled | 1.0.0 |
| A napló időtartamát engedélyezni kell a PostgreSQL-adatbáziskiszolgálók esetében | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van log_duration beállítás. | AuditIfNotExists, Disabled | 1.0.0 |
| A Logic Apps integrációs szolgáltatási környezetét ügyfél által felügyelt kulcsokkal kell titkosítani | Üzembe helyezés az Integrációs szolgáltatás környezetében a Logic Apps-adatok titkosításának felügyeletéhez ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A Network Watcher folyamatnaplóinak engedélyezniük kell a forgalomelemzést | A Traffic Analytics elemzi a folyamatnaplókat, hogy betekintést nyújtson az Azure-felhő forgalmi folyamatába. Segítségével megjelenítheti a hálózati tevékenységeket az Azure-előfizetésekben, azonosíthatja a gyakori pontokat, azonosíthatja a biztonsági fenyegetéseket, megismerheti a forgalmi mintákat, rögzítheti a hálózati helytelen konfigurációkat stb. | Naplózás, letiltva | 1.0.1 |
| A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni | Incidensvizsgálati célokból javasoljuk, hogy az SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | AuditIfNotExists, Disabled | 3.0.0 |
| A tevékenységnaplókkal rendelkező tárolót tartalmazó tárfiókot BYOK-tal kell titkosítani | Ez a szabályzat naplózza, hogy a tevékenységnaplókkal rendelkező tárolót tartalmazó Storage-fiók titkosítva van-e a BYOK-tal. A szabályzat csak akkor működik, ha a tárfiók ugyanazon az előfizetésen található, mint a tevékenységnaplók. További információt az Azure Storage inaktív titkosításáról itt https://aka.ms/azurestoragebyoktalál. | AuditIfNotExists, Disabled | 1.0.0 |
| A Log Analytics-bővítményt telepíteni kell a virtuálisgép-méretezési csoportokra | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuálisgép-méretezési csoportokat, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1 |
| A virtuális gépeken telepítve kell lennie a Log Analytics-bővítménynek | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1 |
Nyilvános kulcsú infrastruktúra (PKI)-3.1
Azonosító: RBI IT-keretrendszer 3.1.h
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az alkalmazáskonfigurációnak ügyfél által felügyelt kulcsot kell használnia | Az ügyfél által kezelt kulcsok fokozott adatvédelmet biztosítanak, lehetővé téve a titkosítási kulcsok kezelését. Ez gyakran szükséges a megfelelőségi követelmények teljesítéséhez. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| Az App Service-környezetnek engedélyeznie kell a belső titkosítást | Az InternalEncryption igaz értékre állítása titkosítja a lapfájlt, a feldolgozó lemezeket és a belső hálózati forgalmat az előtér és az App Service-környezet feldolgozói között. További információkért tekintse meg a következőt https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption: . | Naplózás, letiltva | 1.0.1 |
| Az Automation-fiók változóit titkosítani kell | Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Cosmos DB többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/cosmosdb-cmk. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security | Naplózás, megtagadás, letiltva | 3.2.1 |
| Az Azure Key Vaultsnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Az Azure Monitor Naplófürtöket úgy kell létrehozni, hogy engedélyezve legyen az infrastruktúra-titkosítás (dupla titkosítás) | Annak érdekében, hogy a biztonságos adattitkosítás szolgáltatásszinten és infrastruktúraszinten engedélyezve legyen két különböző titkosítási algoritmussal és két különböző kulcssal, használjon dedikált Azure Monitor-fürtöt. Ez a beállítás alapértelmezés szerint engedélyezve van, ha a régióban támogatott, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a tanúsítvány érvényességének maximális időtartamát a kulcstartóban. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.2.1 |
| A lemeztitkosítást engedélyezni kell az Azure Data Explorerben | A lemeztitkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for MySQL-kiszolgálókon | Az Azure Database for MySQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsok használatával. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for PostgreSQL-kiszolgálókon | Az Azure Database for PostgreSQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsokkal | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük | A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie | A titkos kódoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes titkos kódok több időt biztosítanak a potenciális támadóknak, hogy feltörjék őket. Ajánlott biztonsági eljárás a titkos kódok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A kulcstartók törlés elleni védelmének engedélyezve kell lennie | A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. | Naplózás, megtagadás, letiltva | 2.1.0 |
| A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek | Ha a kulcstartót helyreállítható törlés nélkül törli, az véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstartó véletlen törlése tartós adatvesztéshez vezethet. A helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra. | Naplózás, megtagadás, letiltva | 3.0.0 |
| A felügyelt lemezeknek egy adott lemeztitkosítási csoportot kell használniuk az ügyfél által felügyelt kulcstitkosításhoz | A felügyelt lemezekhez használandó lemeztitkosítási készletek meghatározott készletének megkövetelése lehetővé teszi a inaktív titkosításhoz használt kulcsok vezérlését. Kiválaszthatja az engedélyezett titkosított készleteket, és a rendszer minden mást elutasít egy lemezhez csatolva. További információ: https://aka.ms/disks-cmk. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A MySQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a MySQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | AuditIfNotExists, Disabled | 1.0.4 |
| A PostgreSQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a PostgreSQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | AuditIfNotExists, Disabled | 1.0.4 |
| Az Azure Monitorban mentett lekérdezéseket a naplók titkosításához az ügyfél tárfiókjába kell menteni | Tárfiók csatolása a Log Analytics-munkaterülethez a mentett lekérdezések tárfiók-titkosítással történő védelme érdekében. Az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőség teljesítéséhez és a mentett lekérdezések Azure Monitorban való hozzáférésének nagyobb mértékű ellenőrzéséhez. A fentiekkel kapcsolatos további részletekért lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárfiók titkosítási hatóköreinek az ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a tárfiók titkosítási hatóköreinek többi részén. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key-Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a tárfiókok titkosítási hatóköreiről: https://aka.ms/encryption-scopes-overview. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiók titkosítási hatóköreinek kettős titkosítást kell használniuk az inaktív adatokhoz | Engedélyezze az infrastruktúra-titkosítást a tárfiók titkosítási hatóköreinek többi részén a további biztonság érdekében. Az infrastruktúra titkosítása biztosítja az adatok kétszeri titkosítását. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókoknak infrastruktúra-titkosítással kell rendelkezniük | Engedélyezze az infrastruktúra-titkosítást az adatok biztonságának magasabb szintű biztosításához. Ha az infrastruktúra titkosítása engedélyezve van, a tárfiókban lévő adatok kétszer lesznek titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | A blob- és fájltárolási fiók védelme nagyobb rugalmassággal az ügyfél által felügyelt kulcsok használatával. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, letiltva | 1.0.3 |
| transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
| A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Biztonsági rések kezelése–3.3
Azonosító: RBI IT-keretrendszer 3.3
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | Frissítse a Kubernetes-szolgáltatásfürtöt egy későbbi Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés ki lett javítva a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verziójában | Naplózás, letiltva | 1.0.2 |
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | AuditIfNotExists, Disabled | 4.1.0 |
| A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie | Az SQL biztonsági rések felmérése biztonsági réseket keres az adatbázisban, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. | AuditIfNotExists, Disabled | 1.0.0 |
| A virtuálisgép-méretezési csoportok rendszerfrissítéseit telepíteni kell | Naplózza az esetleges hiányzó biztonsági rendszerfrissítéseket és kulcsfontosságú frissítéseket, amelyeket telepíteni kell, hogy Windows és Linux rendszerű virtuálisgép-méretezési csoportjai biztonságban legyenek. | AuditIfNotExists, Disabled | 3.0.0 |
| A rendszerfrissítéseket telepíteni kell a gépekre | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit az Azure Security Center ajánlásként figyeli | AuditIfNotExists, Disabled | 4.0.0 |
| A tároló biztonsági konfigurációinak biztonsági réseit orvosolni kell | A biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken a Docker telepítve van, és javaslatokként jelenik meg az Azure Security Centerben. | AuditIfNotExists, Disabled | 3.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
| A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell | Ellenőrizze a virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseit, hogy megvédje őket a támadásoktól. | AuditIfNotExists, Disabled | 3.0.0 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
| A biztonságirés-felmérést engedélyezni kell a Synapse-munkaterületeken | A lehetséges biztonsági rések felderítése, nyomon követése és elhárítása ismétlődő SQL-sebezhetőségi felmérési vizsgálatok konfigurálásával a Synapse-munkaterületeken. | AuditIfNotExists, Disabled | 1.0.0 |
Digitális aláírások-3.8
Azonosító: RBI IT-keretrendszer 3.8
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" funkciót | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a szabályzatot egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. | Naplózás, letiltva | 3.1.0-elavult |
| Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
| A tanúsítványokat a megadott integrált hitelesítésszolgáltatónak kell kiállítania | A szervezeti megfelelőségi követelmények kezeléséhez adja meg az azure-beli integrált hitelesítésszolgáltatókat, amelyek tanúsítványokat állíthatnak ki a kulcstartóban, például a Digicertben vagy a GlobalSignben. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a tanúsítvány érvényességének maximális időtartamát a kulcstartóban. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.2.1 |
| A tanúsítványoknak engedélyezett kulcstípusokat kell használniuk | A tanúsítványokhoz engedélyezett kulcstípusok korlátozásával kezelheti a szervezeti megfelelőségi követelményeket. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| A háromliptikus görbe titkosítását használó tanúsítványoknak engedélyezett görbenevekkel kell rendelkezniük | A kulcstartóban tárolt ECC-tanúsítványok engedélyezett háromliptikus görbeneveinek kezelése. További információt a következő címen https://aka.ms/akvpolicytalál: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| Az RSA titkosítást használó tanúsítványoknak meg kell adni a minimális kulcsméretet | A szervezeti megfelelőségi követelmények kezelése a kulcstartóban tárolt RSA-tanúsítványok minimális kulcsméretének megadásával. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
IT-üzemeltetés
IT Operations-4.2
Azonosító: RBI IT-keretrendszer 4.2
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
IT Operations-4.4
Azonosító: RBI IT-keretrendszer 4.4.a
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
MIS a top management-4.4-hez
Azonosító: RBI IT-keretrendszer 4.4.b
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
IS Audit
Az információs rendszer naplózására vonatkozó szabályzat (IS Audit)-5
Azonosító: RBI IT-keretrendszer 5
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| Minden folyamatnapló-erőforrásnak engedélyezett állapotban kell lennie | Naplóerőforrások naplózása annak ellenőrzéséhez, hogy engedélyezve van-e a folyamatnapló állapota. A folyamatnaplók engedélyezésével naplózhatja az IP-forgalommal kapcsolatos információkat. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.0.1 |
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk | Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A folyamatnaplókat minden hálózati biztonsági csoporthoz konfigurálni kell | Hálózati biztonsági csoportok naplózása annak ellenőrzéséhez, hogy a folyamatnaplók konfigurálva vannak-e. A folyamatnaplók engedélyezésével naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.1.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| El kell távolítani az IP-tűzfalszabályokat az Azure Synapse-munkaterületeken | Az ÖSSZES IP-tűzfalszabály eltávolítása javítja a biztonságot azáltal, hogy az Azure Synapse-munkaterület csak privát végpontról érhető el. Ez a konfiguráció naplóz olyan tűzfalszabályok létrehozását, amelyek lehetővé teszik a nyilvános hálózati hozzáférést a munkaterületen. | Naplózás, letiltva | 1.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Application Gatewayhez | Az "Észlelés" vagy a "Megelőzés" mód használatát arra kötelezi, hogy aktív legyen az Application Gateway összes webalkalmazási tűzfalszabályzatán. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Azure Front Door Service-hez | Az "Észlelés" vagy a "Megelőzés" mód használatát az Azure Front Door Service webalkalmazási tűzfalszabályzatainak aktív használatára kötelezi. | Naplózás, megtagadás, letiltva | 1.0.0 |
Lefedettség-5.2
Azonosító: RBI IT-keretrendszer 5.2
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
Üzletmenet-folytonosság tervezése
Üzletmenet-folytonossági tervezés (BCP) és Vészhelyreállítás-6
Azonosító: RBI IT-keretrendszer 6
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Recovery Services-tárolóknak ügyfél által felügyelt kulcsokat kell használniuk a biztonsági mentési adatok titkosításához | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a biztonsági mentési adatok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/AB-CmkEncryption. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Recovery Services-tárolóknak privát hivatkozást kell használniuk a biztonsági mentéshez | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Recovery Services-tárolókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/AB-PrivateEndpoints. | Naplózás, letiltva | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A Recovery Services-tárolóknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Recovery Services-tárolókhoz való leképezésével csökken az adatszivárgás kockázata. További információ az Azure Site Recovery privát hivatkozásairól: https://aka.ms/HybridScenarios-PrivateLink és https://aka.ms/AzureToAzure-PrivateLink. | Naplózás, letiltva | 1.0.0-előzetes verzió |
| Virtuális gépek naplózása vészhelyreállítás konfigurálása nélkül | Naplózhatja azokat a virtuális gépeket, amelyeken nincs vészhelyreállítás konfigurálva. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el https://aka.ms/asr-docide. | auditIfNotExists | 1.0.0 |
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Az Azure SQL Database-ekhez engedélyezni kell a hosszú távú georedundáns biztonsági mentést | Ez a szabályzat naplóz minden olyan Azure SQL Database-t, amely hosszú távú georedundáns biztonsági mentést nem engedélyez. | AuditIfNotExists, Disabled | 2.0.0 |
Helyreállítási stratégia / 6.2-es készenléti terv
Azonosító: RBI IT-keretrendszer 6.2
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Recovery Services-tárolóknak ügyfél által felügyelt kulcsokat kell használniuk a biztonsági mentési adatok titkosításához | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a biztonsági mentési adatok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/AB-CmkEncryption. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Recovery Services-tárolóknak privát hivatkozást kell használniuk a biztonsági mentéshez | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Recovery Services-tárolókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/AB-PrivateEndpoints. | Naplózás, letiltva | 2.0.0-előzetes verzió |
| Virtuális gépek naplózása vészhelyreállítás konfigurálása nélkül | Naplózhatja azokat a virtuális gépeket, amelyeken nincs vészhelyreállítás konfigurálva. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el https://aka.ms/asr-docide. | auditIfNotExists | 1.0.0 |
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Az Azure SQL Database-ekhez engedélyezni kell a hosszú távú georedundáns biztonsági mentést | Ez a szabályzat naplóz minden olyan Azure SQL Database-t, amely hosszú távú georedundáns biztonsági mentést nem engedélyez. | AuditIfNotExists, Disabled | 2.0.0 |
Helyreállítási stratégia / 6.3- es készenléti terv
Azonosító: RBI IT-keretrendszer 6.3
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Recovery Services-tárolóknak ügyfél által felügyelt kulcsokat kell használniuk a biztonsági mentési adatok titkosításához | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a biztonsági mentési adatok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/AB-CmkEncryption. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Recovery Services-tárolóknak privát hivatkozást kell használniuk a biztonsági mentéshez | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Recovery Services-tárolókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/AB-PrivateEndpoints. | Naplózás, letiltva | 2.0.0-előzetes verzió |
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Az Azure SQL Database-ekhez engedélyezni kell a hosszú távú georedundáns biztonsági mentést | Ez a szabályzat naplóz minden olyan Azure SQL Database-t, amely hosszú távú georedundáns biztonsági mentést nem engedélyez. | AuditIfNotExists, Disabled | 2.0.0 |
Helyreállítási stratégia / 6.4-es készenléti terv
Azonosító: RBI IT-keretrendszer 6.4
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Recovery Services-tárolóknak ügyfél által felügyelt kulcsokat kell használniuk a biztonsági mentési adatok titkosításához | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a biztonsági mentési adatok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/AB-CmkEncryption. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Recovery Services-tárolóknak privát hivatkozást kell használniuk a biztonsági mentéshez | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Recovery Services-tárolókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/AB-PrivateEndpoints. | Naplózás, letiltva | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A Recovery Services-tárolóknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Recovery Services-tárolókhoz való leképezésével csökken az adatszivárgás kockázata. További információ az Azure Site Recovery privát hivatkozásairól: https://aka.ms/HybridScenarios-PrivateLink és https://aka.ms/AzureToAzure-PrivateLink. | Naplózás, letiltva | 1.0.0-előzetes verzió |
| Virtuális gépek naplózása vészhelyreállítás konfigurálása nélkül | Naplózhatja azokat a virtuális gépeket, amelyeken nincs vészhelyreállítás konfigurálva. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el https://aka.ms/asr-docide. | auditIfNotExists | 1.0.0 |
Következő lépések
További cikkek az Azure Policyról:
- A jogszabályi megfelelőség áttekintése.
- Tekintse meg a kezdeményezés definíciós struktúráját.
- Tekintse át az Azure Policy-minták egyéb példáit.
- A Szabályzatok hatásainak ismertetése.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.