CIS Microsoft Azure Foundations Benchmark 1.1.0 規制コンプライアンスの組み込みイニシアチブの詳細

次の記事では、Azure Policy 規制コンプライアンスの組み込みイニシアチブの定義が、CIS Microsoft Azure Foundations Benchmark 1.1.0 の コンプライアンス ドメインコントロール にどのように対応するのかを、詳しく説明します。 このコンプライアンス標準の詳細については、CIS Microsoft Azure Foundations Benchmark 1.1.0 に関するページを参照してください。 "所有権" については、Azure Policy のポリシー定義に関するページと、「クラウドにおける共同責任」を参照してください。

次のマッピングは、CIS Microsoft Azure Foundations Benchmark 1.1.0 コントロールへのマッピングです。 右側のナビゲーションを使用すると、特定の コンプライアンス ドメイン に直接移動します。 コントロールの多くは、Azure Policy のイニシアチブ定義で実装されています。 完全なイニシアチブ定義を確認するには、Azure portal で [ポリシー] を開き、 [定義] ページを選択します。 次に、 [CIS Microsoft Azure Foundations Benchmark v1.1.0] 規制コンプライアンスの組み込みイニシアチブ定義を見つけて選択します。

この組み込みイニシアチブは、CIS Microsoft Azure Foundations Benchmark 1.1.0 ブループリント サンプルの一部としてデプロイされます。

重要

以下の各コントロールは、1 つ以上の Azure Policy 定義に関連します。 これらのポリシーは、コントロールに対するコンプライアンスの評価に役立つ場合があります。ただし、多くの場合、コントロールと 1 つ以上のポリシーとの間には、一対一での一致、または完全な一致はありません。 そのため、Azure Policy での 準拠 では、ポリシー定義自体のみが示されています。これによって、コントロールのすべての要件に完全に準拠していることが保証されるわけではありません。 また、コンプライアンス標準には、現時点でどの Azure Policy 定義でも対応されていないコントロールが含まれています。 したがって、Azure Policy でのコンプライアンスは、全体のコンプライアンス状態の部分的ビューでしかありません。 このコンプライアンス標準に対するコンプライアンス ドメイン、コントロール、Azure Policy 定義の間の関連付けは、時間の経過と共に変わる可能性があります。 変更履歴を表示するには、GitHub のコミット履歴に関するページを参照してください。

ID 管理とアクセス管理

特権のあるすべてのユーザーに対して多要素認証が有効になっていることを確認する

[ID] :CIS Azure 1.1 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
サブスクリプションに対する書き込みアクセス許可を持つアカウントに対して MFA を有効にする必要がある アカウントまたはリソースに対する侵害を防止するために、書き込み権限を持つすべてのサブスクリプション アカウントに対して 多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 3.0.0
サブスクリプションで所有者アクセス許可を持つアカウントに対して MFA を有効にする必要がある アカウントまたはリソースに対する侵害を防止するために、所有者としてのアクセス許可を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 3.0.0

特権のないすべてのユーザーに対して多要素認証が有効になっていることを確認する

[ID] :CIS Azure 1.2 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
サブスクリプションに対する読み取りアクセス許可を持つアカウントに対して MFA を有効にする必要がある アカウントまたはリソースの侵害を防止するために、読み取り権限を持つすべてのサブスクリプション アカウントで多要素認証 (MFA) を有効にする必要があります。 AuditIfNotExists、Disabled 3.0.0

ゲスト ユーザーがいないことを確認する

[ID] :CIS Azure 1.3 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
所有者アクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある 監視されていないアクセスを防止するために、所有者アクセス許可を持つ外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 3.0.0
読み取りアクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある 監視されていないアクセスを防止するために、読み取り権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 3.0.0
書き込みアクセス許可を持つ外部アカウントをサブスクリプションから削除する必要がある 監視されていないアクセスを防止するために、書き込み権限がある外部アカウントは、サブスクリプションから削除する必要があります。 AuditIfNotExists、Disabled 3.0.0

カスタム サブスクリプションの所有者ロールが作成されていないことを確認する

[ID] :CIS Azure 1.23 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
カスタム サブスクリプションの所有者ロールが作成されていないこと このポリシーでは、カスタム サブスクリプションの所有者ロールが存在しないことを確認します。 Audit、Disabled 2.0.0

Security Center

Standard 価格レベルが選択されていることを確認する

[ID] :CIS Azure 2.1 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Defender for App Service を有効にする必要がある Azure Defender for App Service は、Azure がクラウド プロバイダーとして提供するクラウドの規模と可視性を活用して、Web アプリへの一般的な攻撃を監視します。 AuditIfNotExists、Disabled 1.0.3
Azure Defender for Azure SQL Database サーバーを有効にする必要がある Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 AuditIfNotExists、Disabled 1.0.2
コンテナー レジストリ用 Azure Defender を有効にする必要がある コンテナー レジストリ用の Azure Defender では、過去 30 日間にプルされたイメージ、レジストリにプッシュされたイメージ、またはインポートされたイメージの脆弱性をスキャンする機能が提供され、イメージごとの詳細な結果が公開されます。 AuditIfNotExists、Disabled 1.0.3
Azure Defender for Key Vault を有効にする必要がある Azure Defender for Key Vault では、キー コンテナー アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性のある試行を検出することにより、追加の保護レイヤーとセキュリティ インテリジェンスが提供されます。 AuditIfNotExists、Disabled 1.0.3
Azure Defender for Kubernetes を有効にする必要がある Azure Defender for Kubernetes では、コンテナー化された環境に対するリアルタイムの脅威の防止が提供され、不審なアクティビティに対してはアラートが生成されます。 AuditIfNotExists、Disabled 1.0.3
サーバー用 Azure Defender を有効にする必要がある サーバー用 Azure Defender では、サーバーのワークロードに対するリアルタイムの脅威の防止が提供され、セキュリティ強化の推奨事項と、不審なアクティビティに関するアラートが生成されます。 AuditIfNotExists、Disabled 1.0.3
Azure Defender for SQL servers on machines を有効にする必要がある Azure Defender for SQL により、潜在的なデータベースの脆弱性を明示および軽減するための機能が提供され、SQL データベースへの脅威を示す可能性のある異常なアクティビティが検出され、機密データの検出と分類が行われます。 AuditIfNotExists、Disabled 1.0.2
Azure Defender for Storage を有効にする必要がある Azure Defender for Storage により、ストレージ アカウントにアクセスしたりそれを悪用したりする、異常で害を及ぼす可能性がある試行を検出できます。 AuditIfNotExists、Disabled 1.0.3

[監視エージェントの自動プロビジョニング] が [オン] に設定されていることを確認する

[ID] :CIS Azure 2.2 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
自分のサブスクリプションで Log Analytics エージェントの自動プロビジョニングを有効にする必要がある Azure Security Center では、セキュリティの脆弱性と脅威を監視するために、Azure 仮想マシンからデータを収集します。 データは、以前は Microsoft Monitoring Agent (MMA) と呼ばれていた Log Analytics エージェントによって収集されます。これがセキュリティ関連のさまざまな構成とイベント ログをマシンから読み取り、分析のためにデータを Log Analytics ワークスペースにコピーします。 自動プロビジョニングを有効にして、サポートされているすべての Azure VM と新しく作成された VM にこのエージェントを自動的にデプロイすることをお勧めします。 AuditIfNotExists、Disabled 1.0.1

ASC の既定のポリシー設定 [システムの更新プログラムの監視] が [無効] になっていないことを確認する

[ID] :CIS Azure 2.3 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
システム更新プログラムをマシンにインストールする必要がある 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 4.0.0

ASC の既定のポリシー設定 [OS 脆弱性の監視] が [無効] になっていないことを確認する

[ID] :CIS Azure 2.4 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
使用しているマシンでセキュリティ構成の脆弱性を修復する必要がある 構成ベースラインを満たしていないサーバーが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.0.0

ASC の既定のポリシー設定 [Endpoint Protection の監視] が [無効] になっていないことを確認する

[ID] :CIS Azure 2.5 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Endpoint Protection の不足を Azure Security Center で監視する Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.0.0

ASC の既定のポリシー設定 [ディスク暗号化の監視] が [無効] になっていないことを確認する

[ID] :CIS Azure 2.6 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある ディスク暗号化が有効になっていない仮想マシンが、推奨設定として Azure Security Center によって監視されます。 AuditIfNotExists、Disabled 2.0.1

ASC の既定のポリシー設定 [ネットワーク セキュリティ グループの監視] が [無効] になっていないことを確認する

[ID] :CIS Azure 2.7 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
アダプティブ ネットワーク強化の推奨事項をインターネット接続仮想マシンに適用する必要がある Azure Security Center では、インターネットに接続している仮想マシンのトラフィック パターンを分析し、可能性のある攻撃面を減少させるためにネットワーク セキュリティ グループの規則の推奨事項を提供します AuditIfNotExists、Disabled 3.0.0

ASC の既定のポリシー設定 [次世代のファイアウォール (NGFW) 監視を有効にする] が [無効] になっていないことを確認する

[ID] :CIS Azure 2.9 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
インターネットに接続する仮想マシンは、ネットワーク セキュリティ グループを使用して保護する必要がある ネットワーク セキュリティ グループ (NSG) を使用してアクセスを制限することにより、潜在的な脅威から仮想マシンを保護します。 NSG を使用してトラフィックを制御する方法の詳細については、https://aka.ms/nsg-doc を参照してください。 AuditIfNotExists、Disabled 3.0.0
サブネットは、ネットワーク セキュリティ グループに関連付けられている必要があります ネットワーク セキュリティ グループ (NSG) を使用してお使いのサブネットへのアクセスを制限することで、潜在的な脅威からサブネットを保護します。 NSG には、お使いのサブネットに対するネットワーク トラフィックを許可または拒否する一連のアクセス制御リスト (ACL) ルールが含まれています。 AuditIfNotExists、Disabled 3.0.0

ASC の既定のポリシー設定 [脆弱性評価を監視する] が [無効] になっていないことを確認する

[ID] :CIS Azure 2.10 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
脆弱性評価ソリューションを仮想マシンで有効にする必要がある 仮想マシンを監査して、サポートされている脆弱性評価ソリューションを実行しているかどうかを検出します。 すべてのサイバーリスクとセキュリティプログラムの中核となるコンポーネントは、脆弱性の特定と分析です。 Azure Security Center の標準価格帯には、追加費用なしで仮想マシン脆弱性スキャンをする機能が含まれています。 また、Security Center では、このツールを自動的にデプロイできます。 AuditIfNotExists、Disabled 3.0.0

ASC の既定のポリシー設定 [JIT ネットワーク アクセスの監視] が [無効] になっていないことを確認する

[ID] :CIS Azure 2.12 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
仮想マシンの管理ポートは、Just-In-Time のネットワーク アクセス制御で保護する必要がある 可能なネットワークのジャスト イン タイム (JIT) アクセスが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.0.0

ASC の既定のポリシー設定 [Monitor Adaptive Application Whitelisting](適応型アプリケーションのホワイトリスト登録の監視) が [無効] になっていないことを確認する

[ID] :CIS Azure 2.13 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
安全なアプリケーションの定義のために適応型アプリケーション制御をマシンで有効にする必要がある アプリケーション制御を有効にして、マシンで実行されている既知の安全なアプリケーションの一覧を定義し、他のアプリケーションの実行時にアラートを出します。 これは、マルウェアに対してマシンを強化するのに役立ちます。 ルールの構成と保守のプロセスを簡略化するために、Security Center で機械学習を使用して各マシンで実行されているアプリケーションを分析し、既知の安全なアプリケーションの一覧を提示します。 AuditIfNotExists、Disabled 3.0.0

ASC の既定のポリシー設定 [SQL 監査の監視] が [無効] になっていないことを確認する

[ID] :CIS Azure 2.14 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
SQL Server の監査を有効にする必要があります サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 AuditIfNotExists、Disabled 2.0.0

ASC の既定のポリシー設定 [SQL 暗号化の監視] が [無効] になっていないことを確認する

[ID] :CIS Azure 2.15 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Transparent Data Encryption を SQL データベース上で有効にする必要がある 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります AuditIfNotExists、Disabled 2.0.0

[セキュリティ連絡先の電子メール] が設定されていることを確認する

[ID] :CIS Azure 2.16 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
サブスクリプションには、セキュリティの問題に備えて連絡先メール アドレスが用意されている必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center からのメール通知を受信するセキュリティの連絡先を設定します。 AuditIfNotExists、Disabled 1.0.1

[重要度 - 高についてアラートの電子メール通知を送信する] が [オン] に設定されていることを確認する

[ID] :CIS Azure 2.18 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションの 1 つでセキュリティ違反のおそれがある場合に、組織内の関係するユーザーに通知が送信されるようにするには、Security Center で重要度の高いアラートに関するメール通知を有効にします。 AuditIfNotExists、Disabled 1.0.1

[サブスクリプションの所有者にもメールを送信する] が [オン] に設定されていることを確認する

[ID] :CIS Azure 2.19 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
サブスクリプション所有者に対する重要度 - 高のアラートの電子メール通知を有効にする必要がある サブスクリプションにセキュリティ違反のおそれがある場合にサブスクリプションの所有者に通知が送信されるようにするには、Security Center で、重要度の高いアラートに関するメール通知をサブスクリプションの所有者に設定します。 AuditIfNotExists、Disabled 2.0.0

ストレージ アカウント

[安全な転送が必要] が [有効] に設定されていることを確認する

[ID] :CIS Azure 3.1 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
ストレージ アカウントへの安全な転送を有効にする必要がある ストレージ アカウント内の安全な転送の要件を監査します。 安全な転送は、ストレージ アカウントに、セキュリティで保護された接続 (HTTPS) からの要求のみを受け入れるように強制するオプションです。 HTTPS を使用することにより、サーバーとサービス間の認証が確実に行われ、転送中のデータをネットワーク層の攻撃 (man-in-the-middle、傍受、セッション ハイジャックなど) から保護します Audit、Deny、Disabled 2.0.0

BLOB コンテナーの "パブリック アクセス レベル" が "プライベート" に設定されていることを確認する

[ID] :CIS Azure 3.6 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
ストレージ アカウントのパブリック アクセスを禁止する必要がある Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 audit、deny、disabled 3.0.1-preview

ストレージ アカウントの既定のネットワーク アクセス ルールが拒否に設定されていることを確認する

[ID] :CIS Azure 3.7 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
ストレージ アカウントではネットワーク アクセスを制限する必要があります ストレージ アカウントに対するネットワーク アクセスは、制限する必要があります。 許可されているネットワークのアプリケーションのみがストレージ アカウントにアクセスできるように、ネットワーク ルールを構成します。 インターネットまたはオンプレミスの特定のクライアントからの接続を許可するために、特定の Azure 仮想ネットワークからのトラフィックまたはパブリック インターネット IP アドレス範囲に対してアクセスを許可することができます。 Audit、Deny、Disabled 1.1.1

ストレージ アカウント アクセスに対して [信頼された Microsoft サービス] が有効になっていることを確認する

[ID] :CIS Azure 3.8 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
ストレージ アカウントは、信頼された Microsoft サービスからのアクセスを許可する必要がある ストレージ アカウントとやり取りする一部の Microsoft サービスは、ネットワーク ルールでアクセスを許可できないネットワークから実行されます。 この種のサービスを意図したとおりに動作させるには、一連の信頼できる Microsoft サービスがネットワーク ルールをバイパスするのを許可します。 そうすると、これらのサービスはストレージ アカウントにアクセスするために強力な認証を使用します。 Audit、Deny、Disabled 1.0.0

データベース サービス

[監査] が [オン] に設定されていることを確認する

[ID] :CIS Azure 4.1 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
SQL Server の監査を有効にする必要があります サーバー上のすべてのデータベースについてデータベースのアクティビティを追跡して、監査ログに保存するには、お使いの SQL サーバーに対する監査を有効にする必要があります。 AuditIfNotExists、Disabled 2.0.0

SQL Server の "監査" ポリシーの "AuditActionGroups" が適切に設定されていることを確認する

[ID] :CIS Azure 4.2 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
重要なアクティビティをキャプチャするには、SQL 監査設定に Action-Groups を構成しなければならない 完全な監査ログを実行するには、AuditActionsAndGroups プロパティに少なくとも SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP を含める必要があります AuditIfNotExists、Disabled 1.0.0

"監査" 保持期間が "90 日を超える" ことを確認する

[ID] :CIS Azure 4.3 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
ストレージ アカウント ターゲットに対する SQL Server の監査データの保持期間を 90 日以上に構成する必要がある インシデント調査を目的として、SQL Server の監査のストレージ アカウントの保持先のデータ保持を少なくとも 90 日に設定することをお勧めします。 運用しているリージョンで必要な保持期間の規則を満たしていることを確認します。 これは、規制標準に準拠するために必要になる場合があります。 AuditIfNotExists、Disabled 3.0.0

SQL Server の "Advanced Data Security" が [オン] に設定されていることを確認する

[ID] :CIS Azure 4.4 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
保護されていない Azure SQL サーバーに対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない SQL サーバーの監査 AuditIfNotExists、Disabled 2.0.1
保護されていない SQL Managed Instance に対して Azure Defender for SQL を有効にする必要がある Advanced Data Security を使用していない各 SQL Managed Instance を監査します。 AuditIfNotExists、Disabled 1.0.2

Azure Active Directory 管理者が構成されていることを確認する

[ID] :CIS Azure 4.8 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
SQL Server に対して Azure Active Directory 管理者をプロビジョニングする必要がある Azure AD 認証を可能にする SQL サーバー向けの Azure Active Directory 管理者のプロビジョニングを監査します。 Azure AD 認証を使用して、アクセス許可の管理を簡単にし、データベース ユーザーとその他の Microsoft サービスの ID を一元管理できます AuditIfNotExists、Disabled 1.0.0

SQL Database の [データ暗号化] が [オン] に設定されていることを確認する

[ID] :CIS Azure 4.9 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Transparent Data Encryption を SQL データベース上で有効にする必要がある 保存データを保護し、コンプライアンス要件を満たすには、Transparent Data Encryption を有効にする必要があります AuditIfNotExists、Disabled 2.0.0

SQL Server の TDE 保護機能が BYOK (自分のキーの使用) で暗号化されていることを確認する

[ID] :CIS Azure 4.10 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
SQL マネージド インスタンスでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 AuditIfNotExists、Disabled 1.0.2
SQL サーバーでは保存データを暗号化するためにカスタマー マネージド キーを使用する必要がある 独自キーを使用して Transparent Data Encryption (TDE) を実装すると、TDE 保護機能の透明性および制御が強化され、HSM で保護された外部サービスによるセキュリティが向上し、職務の分離が促進されます。 この推奨事項は、関連するコンプライアンス要件を持つ組織に適用されます。 AuditIfNotExists、Disabled 2.0.1

MySQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する

[ID] :CIS Azure 4.11 所有権 :Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
MySQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない Azure Database for MySQL は、Secure Sockets Layer (SSL) を使用した、クライアント アプリケーションへの Azure Database for MySQL サーバーへの接続をサポートします。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 Audit、Disabled 1.0.1

サーバー パラメーターである "log_checkpoints" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する

[ID] :CIS Azure 4.12 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
PostgreSQL データベース サーバーではログ チェックポイントが有効でなければならない このポリシーは、log_checkpoints 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0

PostgreSQL データベース サーバーで [SSL 接続を強制する] が [有効] に設定されていることを確認する

[ID] :CIS Azure 4.13 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
PostgreSQL データベース サーバーでは [SSL 接続を強制する] が有効でなければならない Azure Database for PostgreSQL では、Secure Sockets Layer (SSL) を使用する Azure Database for PostgreSQL サーバーからクライアント アプリケーションへの接続がサポートされています。 お使いのデータベース サーバーとクライアント アプリケーション間に SSL 接続を強制すると、サーバーとお使いのアプリケーション間のデータ ストリームを暗号化することにより、中間者 (man in the middle) 攻撃から保護するのに役立ちます。 この構成では、データベース サーバーへのアクセスに対して SSL が常に有効にされます。 Audit、Disabled 1.0.1

サーバー パラメーターである "log_connections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する

[ID] :CIS Azure 4.14 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
PostgreSQL データベース サーバーではログ接続が有効でなければならない このポリシーは、log_connections 設定が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0

サーバー パラメーターである "log_disconnections" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する

[ID] :CIS Azure 4.15 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
PostgreSQL データベース サーバーの切断はログに記録する必要がある。 このポリシーは、log_disconnections が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 AuditIfNotExists、Disabled 1.0.0

サーバー パラメーターである "connection_throttling" が PostgreSQL データベース サーバー向けに [オン] に設定されていることを確認する

[ID] :CIS Azure 4.17 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
PostgreSQL データベース サーバーでは接続の調整が有効でなければならない このポリシーは、接続の帯域幅調整が有効になっていない環境内のすべての PostgreSQL データベースを監査するのに役立ちます。 この設定により、無効なパスワード ログイン エラーが多すぎる場合に、IP ごとに一時的な接続の帯域幅調整を行うことができます。 AuditIfNotExists、Disabled 1.0.0

ログ記録と監視

ログ プロファイルが存在することを確認する

[ID] :CIS Azure 5.1.1 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure サブスクリプションにはアクティビティ ログのログ プロファイルが必要 このポリシーでは、アクティビティ ログのエクスポートがログ プロファイルで有効になっているかどうかを確認します。 また、ログをストレージ アカウントまたはイベント ハブにエクスポートするためのログ プロファイルが作成されていないかどうかを監査します。 AuditIfNotExists、Disabled 1.0.0

アクティビティ ログのリテンション期間が 365 日以上に設定されていることを確認する

[ID] :CIS Azure 5.1.2 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
アクティビティ ログを 1 年以上保持する必要がある このポリシーは、リテンション期間が 365 日間または無期限 (リテンション日数が 0) に設定されていない場合にアクティビティ ログを監査します。 AuditIfNotExists、Disabled 1.0.0

監査プロファイルによってすべてのアクティビティがキャプチャされることを確認する

[ID] :CIS Azure 5.1.3 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Monitor ログ プロファイルで、"書き込み"、"削除"、"アクション" の各カテゴリのログを収集する必要がある このポリシーでは、ログ プロファイルで "書き込み"、"削除"、"アクション" の各カテゴリのログが確実に収集されるようにします AuditIfNotExists、Disabled 1.0.0

ログ プロファイルによってグローバルを含むすべてのリージョンのアクティビティ ログがキャプチャされることを確認する

[ID] :CIS Azure 5.1.4 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Monitor ですべてのリージョンからアクティビティ ログを収集する必要がある このポリシーでは、グローバルを含め、Azure がサポートするすべてのリージョンからアクティビティをエクスポートしない Azure Monitor ログ プロファイルを監査します。 AuditIfNotExists、Disabled 2.0.0

アクティビティ ログを格納するストレージ コンテナーにパブリックにアクセスできないことを確認する

[ID] :CIS Azure 5.1.5 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
ストレージ アカウントのパブリック アクセスを禁止する必要がある Azure Storage 内のコンテナーと BLOB への匿名パブリック読み取りアクセスは、データを共有するための便利な方法ですが、セキュリティ上のリスクが生じる場合があります。 好ましくない匿名アクセスによるデータ侵害を防ぐために、Microsoft では、シナリオで必要でない限り、ストレージ アカウントへのパブリック アクセスを禁止することをお勧めします。 audit、deny、disabled 3.0.1-preview

アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK (独自のキーの使用) を使用して暗号化されていることを確認する

[ID] :CIS Azure 5.1.6 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
アクティビティ ログがあるコンテナーを含むストレージ アカウントは、BYOK を使用して暗号化する必要がある このポリシーは、アクティビティ ログがあるコンテナーを含むストレージ アカウントが BYOK を使用して暗号化されているかどうかを監査します。 このポリシーは、ストレージ アカウントが仕様でアクティビティ ログと同じサブスクリプションに設定されている場合にのみ有効です。 保存時の Azure Storage 暗号化の詳細については、こちら (https://aka.ms/azurestoragebyok) をご覧ください。 AuditIfNotExists、Disabled 1.0.0

Azure KeyVault のログ記録が [有効] になっていることを確認する

[ID] :CIS Azure 5.1.7 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Key Vault マネージド HSM のリソース ログを有効にする必要がある セキュリティ インシデントが発生したときやネットワークが侵害されたときに調査目的でアクティビティ証跡を再作成する場合は、マネージド HSM のリソース ログを有効にして監査を行います。 https://docs.microsoft.com/azure/key-vault/managed-hsm/logging の手順に従ってください。 AuditIfNotExists、Disabled 1.0.0
Key Vault のリソース ログを有効にする必要がある リソース ログが有効になっていることを監査します。 これにより、セキュリティ インシデントが発生した場合やお使いのネットワークが侵害された場合に、調査目的で使用するアクティビティ証跡を再作成できます AuditIfNotExists、Disabled 5.0.0

"ポリシー割り当ての作成" のアクティビティ ログ アラートが存在することを確認する

[ID] :CIS Azure 5.2.1 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
特定のポリシー操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定のポリシー操作を監査します。 AuditIfNotExists、Disabled 3.0.0

"ネットワーク セキュリティ グループの作成または更新" のアクティビティ ログ アラートが存在することを確認する

[ID] :CIS Azure 5.2.2 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
特定の管理操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 AuditIfNotExists、Disabled 1.0.0

"ネットワーク セキュリティ グループの削除" のアクティビティ ログ アラートが存在することを確認する

[ID] :CIS Azure 5.2.3 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
特定の管理操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 AuditIfNotExists、Disabled 1.0.0

"ネットワーク セキュリティ グループ規則の作成または更新" のアクティビティ ログ アラートが存在することを確認する

[ID] :CIS Azure 5.2.4 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
特定の管理操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 AuditIfNotExists、Disabled 1.0.0

"ネットワーク セキュリティ グループ規則の削除" のアクティビティ ログ アラートが存在することを確認する

[ID] :CIS Azure 5.2.5 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
特定の管理操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 AuditIfNotExists、Disabled 1.0.0

"セキュリティ ソリューションの作成または更新" のアクティビティ ログ アラートが存在することを確認する

[ID] :CIS Azure 5.2.6 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 AuditIfNotExists、Disabled 1.0.0

"セキュリティ ソリューションの削除" のアクティビティ ログ アラートが存在することを確認する

[ID] :CIS Azure 5.2.7 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 AuditIfNotExists、Disabled 1.0.0

"SQL Server ファイアウォール規則の作成、更新、削除" のアクティビティ ログ アラートが存在することを確認する

[ID] :CIS Azure 5.2.8 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
特定の管理操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定の管理操作を監査します。 AuditIfNotExists、Disabled 1.0.0

"セキュリティ ポリシーの更新" のアクティビティ ログ アラートが存在することを確認する

[ID] :CIS Azure 5.2.9 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
特定のセキュリティ操作のアクティビティ ログ アラートが存在する必要がある このポリシーは、アクティビティ ログ アラートが構成されていない特定のセキュリティ操作を監査します。 AuditIfNotExists、Disabled 1.0.0

ネットワーク

インターネットからの RDP アクセスが制限されていることを確認する

[ID] :CIS Azure 6.1 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
インターネットからの RDP アクセスをブロックする必要があります このポリシーは、インターネットからの RDP アクセスを許可するすべてのネットワーク セキュリティ規則を監査します Audit、Disabled 2.0.0

インターネットからの SSH アクセスが制限されていることを確認する

[ID] :CIS Azure 6.2 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
インターネットからの SSH アクセスをブロックする必要があります このポリシーは、インターネットからの SSH アクセスを許可するすべてのネットワーク セキュリティ規則を監査します Audit、Disabled 2.0.0

Network Watcher が [有効] になっていることを確認する

[ID] :CIS Azure 6.5 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Network Watcher を有効にする必要がある Network Watcher は地域サービスであり、ネットワーク シナリオ レベルで Azure 内と Azure 間の状態を監視して診断できます。 シナリオ レベルの監視により、エンド ツー エンドのネットワーク レベル ビューで問題を診断できるようになります。 仮想ネットワークが存在するすべてのリージョンに Network Watcher リソース グループを作成する必要があります。 特定のリージョンで Network Watcher リソース グループを使用できない場合は、アラートが有効になります。 AuditIfNotExists、Disabled 3.0.0

Virtual Machines

"OS ディスク" が暗号化されていることを確認する

[ID] :CIS Azure 7.1 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある ディスク暗号化が有効になっていない仮想マシンが、推奨設定として Azure Security Center によって監視されます。 AuditIfNotExists、Disabled 2.0.1

"データ ディスク" が暗号化されていることを確認する

[ID] :CIS Azure 7.2 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
コンピューティングとストレージのリソース間で一時ディスク、キャッシュ、データ フローを仮想マシンによって暗号化する必要がある ディスク暗号化が有効になっていない仮想マシンが、推奨設定として Azure Security Center によって監視されます。 AuditIfNotExists、Disabled 2.0.1

"アタッチされていないディスク" が暗号化されていることを確認する

[ID] :CIS Azure 7.3 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
アタッチされていないディスクを暗号化する必要がある このポリシーは、アタッチされていないディスクで、暗号化が有効でないものすべてを監査します。 Audit、Disabled 1.0.0

承認済みの拡張機能のみがインストールされていることを確認する

[ID] :CIS Azure 7.4 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
インストールする必要があるのは、許可されている VM 拡張機能のみ このポリシーは、承認されていない仮想マシン拡張機能を制御します。 Audit、Deny、Disabled 1.0.0

すべての仮想マシンの最新の OS 修正プログラムが適用されていることを確認する

[ID] :CIS Azure 7.5 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
システム更新プログラムをマシンにインストールする必要がある 使用中のサーバーにおけるセキュリティ関連のシステム更新プログラムの不足が、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 4.0.0

すべての仮想マシンの Endpoint Protection がインストールされていることを確認する

[ID] :CIS Azure 7.6 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Endpoint Protection の不足を Azure Security Center で監視する Endpoint Protection エージェントがインストールされていないサーバーが、推奨設定として Azure Security Center で監視されます AuditIfNotExists、Disabled 3.0.0

その他のセキュリティの考慮事項

すべてのキーに有効期限が設定されていることを確認する

[ID] :CIS Azure 8.1 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Key Vault キーには有効期限が必要である 暗号化キーには有効期限を定義する必要があり、永続的なものにしてはいけません。 無期限に有効なキーを使用すると、攻撃者がキーを侵害できる時間がそれだけ長くなります。 セキュリティ プラクティスとして、暗号化キーには有効期限を設定することをお勧めします。 Audit、Deny、Disabled 1.0.2

すべてのシークレットに有効期限が設定されていることを確認する

[ID] :CIS Azure 8.2 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Key Vault シークレットには有効期限が必要である シークレットには有効期限を定義する必要があり、永続的なものにしてはいけません。 シークレットを無期限に有効にすると、潜在的な攻撃者にそれを侵害する時間を多く与えることになります。 セキュリティ プラクティスとして、シークレットには有効期限を設定することをお勧めします。 Audit、Deny、Disabled 1.0.2

キー コンテナーが回復可能であることを確認する

[ID] :CIS Azure 8.4 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Azure Key Vault Managed HSM で消去保護が有効になっている必要がある Azure Key Vault Managed HSM が悪意により削除されると、完全にデータが失われる可能性があります。 組織内の悪意のある内部関係者が、Azure Key Vault Managed HSM の削除と消去を実行できるおそれがあります。 消去保護では、論理的に削除された Azure Key Vault Managed HSM に必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中に Azure Key Vault Managed HSM を消去することはできなくなります。 Audit、Deny、Disabled 1.0.0
キー コンテナーで消去保護が有効になっている必要がある 悪意でキー コンテナーが削除されると、データが完全に失われる可能性があります。 組織内の悪意のある内部関係者が、キー コンテナーの削除と消去を実行できるおそれがあります。 消去保護では、論理的に削除されたキー コンテナーに必須の保有期間を適用することによって、内部関係者の攻撃から組織を保護します。 組織や Microsoft の内部にいるどのユーザーも、論理的な削除の保有期間中にキー コンテナーを消去することはできなくなります。 Audit、Deny、Disabled 2.0.0

Azure Kubernetes サービス内でロールベースのアクセス制御 (RBAC) を有効にする

[ID] :CIS Azure 8.5 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Kubernetes Services でロールベースのアクセス制御 (RBAC) を使用する必要がある ユーザーが実行できるアクションに関して詳細なフィルター処理を行うために、ロールベースのアクセス制御 (RBAC) を使用して、Kubernetes Service クラスター内のアクセス許可を管理し、関連する承認ポリシーを構成します。 Audit、Disabled 1.0.2

AppService

Azure App Service に App Service 認証が設定されていることを確認する

[ID] :CIS Azure 9.1 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
API アプリで認証が有効になっている必要がある Azure App Service 認証は、匿名の HTTP 要求が API アプリに到達するのを防いだり、トークンを保持するものを API アプリへの到達前に認証したりできる機能です AuditIfNotExists、Disabled 1.0.0
関数アプリで認証が有効になっている必要がある Azure App Service 認証は、匿名の HTTP 要求が関数アプリに到達するのを防いだり、トークンを保持するものを関数アプリへの到達前に認証したりできる機能です AuditIfNotExists、Disabled 1.0.0
Web アプリで認証が有効になっている必要がある Azure App Service 認証は、匿名の HTTP 要求が Web アプリに到達するのを防いだり、トークンを保持するものを Web アプリへの到達前に認証したりできる機能です AuditIfNotExists、Disabled 1.0.0

Web アプリがすべての HTTP トラフィックを Azure App Service の HTTPS にリダイレクトすることを確認する

[ID] :CIS Azure 9.2 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
Web アプリケーションには HTTPS を介してのみアクセスできるようにする HTTPS を使用すると、サーバー/サービスの認証が確実に実行され、転送中のデータがネットワーク層の傍受攻撃から保護されるようになります。 Audit、Disabled 1.0.0

Web アプリが最新バージョンの TLS 暗号化を使用していることを確認する

[ID] :CIS Azure 9.3 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
API アプリでは最新の TLS バージョンを使用する必要がある 最新の TLS バージョンにアップグレードします AuditIfNotExists、Disabled 1.0.0
関数アプリでは最新の TLS バージョンを使用する必要がある 最新の TLS バージョンにアップグレードします AuditIfNotExists、Disabled 1.0.0
Web アプリでは最新の TLS バージョンを使用する必要がある 最新の TLS バージョンにアップグレードします AuditIfNotExists、Disabled 1.0.0

Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する

[ID] :CIS Azure 9.4 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
API アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 Audit、Disabled 1.0.0
Web アプリで "クライアント証明書 (着信クライアント証明書)" が [オン] に設定されていることを確認する クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみがアプリにアクセスできます。 Audit、Disabled 1.0.0
関数アプリでは、"クライアント証明書 (着信クライアント証明書)" が有効になっている必要がある クライアント証明書を使用すると、アプリは受信要求に対して証明書を要求できます。 有効な証明書を持つクライアントのみが、そのアプリにアクセスできるようになります。 Audit、Disabled 1.0.1

App Service で [Azure Active Directory に登録する] が有効になっていることを確認する

[ID] :CIS Azure 9.5 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
API アプリではマネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 2.0.0
関数アプリではマネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 2.0.0
Web アプリではマネージド ID を使用する必要がある マネージド ID を使用して認証セキュリティを強化します AuditIfNotExists、Disabled 2.0.0

Web アプリの実行に使用された "PHP のバージョン" が最新であることを確認する

[ID] :CIS Azure 9.7 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
API アプリの一部として使用される "PHP のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の PHP バージョンを API アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.1.0
Web アプリの一部として使用された "PHP のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、PHP ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の PHP バージョンを Web アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.1.0

Web アプリの実行に使用された "Python のバージョン" が最新であることを確認する

[ID] :CIS Azure 9.8 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
API アプリの一部として使用される "Python のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを API アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 3.0.0
関数アプリの一部として使用された "Python のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを関数アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 3.0.0
Web アプリの一部として使用された "Python のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、Python ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを Web アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 3.0.0

Web アプリの実行に使用された "Java のバージョン" が最新であることを確認する

[ID] :CIS Azure 9.9 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
API アプリの一部として使用される "Java のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、Java の新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Python バージョンを API アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.0.0
関数アプリの一部として使用された "Java のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用できるように、最新の Java バージョンを関数アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.0.0
Web アプリの一部として使用された "Java のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、Java ソフトウェアの新しいバージョンが定期的にリリースされます。 最新バージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の Java バージョンを Web アプリに使用することをお勧めします。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.0.0

Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する

[ID] :CIS Azure 9.10 所有権: Customer

名前
(Azure portal)
説明 効果 Version
(GitHub)
API アプリの実行に使用される "HTTP のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.0.0
関数アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.0.0
Web アプリの実行に使用された "HTTP のバージョン" が最新であることを確認する セキュリティ上の欠陥のため、または追加機能を組み込むために、HTTP の新しいバージョンが定期的にリリースされます。 新しいバージョンのセキュリティ修正プログラム (存在する場合) や新機能を利用するために、最新の HTTP バージョンを Web アプリに使用します。 現在、このポリシーは Linux Web アプリにのみ適用されます。 AuditIfNotExists、Disabled 2.0.0

次のステップ

Azure Policy に関するその他の記事: