Aanbevelingen voor beveiliging
In dit artikel worden alle beveiligingsaanaanvelingen vermeld die u in Microsoft Defender voor Cloud kunt zien. De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie.
Aanbevelingen in Defender voor Cloud zijn gebaseerd op de Microsoft-cloudbeveiligingsbenchmark. De Microsoft-cloudbeveiligingsbenchmark is de door Microsoft geschreven set richtlijnen voor aanbevolen procedures voor beveiliging en naleving. Deze breed gerespecteerde benchmark bouwt voort op controles van het Center for Internet Security (CIS) en het National Institute of Standards and Technology (NIST) met een focus op cloudgerichte beveiliging.
Zie Aanbevelingen herstellen in Defender voor Cloud voor meer informatie over acties die u kunt ondernemen als reactie op deze aanbevelingen.
Uw beveiligingsscore is gebaseerd op het aantal beveiligingsaan aanbevelingen dat u hebt voltooid. Als u wilt bepalen welke aanbevelingen u het eerst wilt oplossen, bekijkt u de ernst van elke aanbeveling en de mogelijke impact ervan op uw beveiligingsscore.
Tip
Als de beschrijving van een aanbeveling geen gerelateerd beleid bevat, komt dit meestal doordat die aanbeveling afhankelijk is van een andere aanbeveling en het bijbehorende beleid.
De eindpuntbeveiligingsstatusfouten van de aanbeveling moeten bijvoorbeeld worden hersteld , is afhankelijk van de aanbeveling die controleert of er zelfs een Endpoint Protection-oplossing is geïnstalleerd (Endpoint Protection-oplossing moet worden geïnstalleerd). De onderliggende aanbeveling heeft wel een beleid. Het beperken van het beleid tot alleen de basisaanbeveling vereenvoudigt het beheer van beleid.
Aanbevelingen voor AppServices
API-app mag alleen toegankelijk zijn via HTTPS
Beschrijving: Het gebruik van HTTPS zorgt voor server-/serviceverificatie en beveiligt gegevens die worden verzonden tegen aanvallen via de netwerklaag. (Gerelateerd beleid: API-app mag alleen toegankelijk zijn via HTTPS).
Ernst: gemiddeld
CORS mag niet toestaan dat elke resource toegang heeft tot API-apps
Beschrijving: CORS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw API-app. Sta alleen de vereiste domeinen toe om met uw API-app te communiceren. (Gerelateerd beleid: CORS mag niet toestaan dat elke resource toegang heeft tot uw API-app).
Ernst: Laag
CORS mag niet toestaan dat elke resource toegang heeft tot functie-apps
Beschrijving: CORS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw functie-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. (Gerelateerd beleid: CORS mag niet toestaan dat elke resource toegang heeft tot uw functie-apps).
Ernst: Laag
CORS mag niet toestaan dat elke resource toegang heeft tot webtoepassingen
Beschrijving: CORS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw webtoepassing. Sta alleen de vereiste domeinen toe om met uw web-app te communiceren. (Gerelateerd beleid: CORS mag niet toestaan dat elke resource toegang heeft tot uw webtoepassingen).
Ernst: Laag
Diagnostische logboeken in App Service moeten zijn ingeschakeld
Beschrijving: Het inschakelen van diagnostische logboeken in de app controleren. Hiermee kunt u activiteitentrails opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast (geen gerelateerd beleid).
Ernst: gemiddeld
Controleren of voor de API-app clientcertificaten inkomende clientcertificaten zijn ingesteld op Aan
Beschrijving: Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. (Gerelateerd beleid: Zorg ervoor dat voor de API-app clientcertificaten (inkomende clientcertificaten) zijn ingesteld op 'Aan').
Ernst: gemiddeld
FTPS moet vereist zijn in API-apps
Beschrijving: FTPS-afdwinging inschakelen voor verbeterde beveiliging (gerelateerd beleid: FTPS mag alleen vereist zijn in uw API-app).
Ernst: Hoog
FTPS moet vereist zijn in functie-apps
Beschrijving: FTPS-afdwinging inschakelen voor verbeterde beveiliging (gerelateerd beleid: FTPS mag alleen vereist zijn in uw functie-app).
Ernst: Hoog
FTPS moet vereist zijn in web-apps
Beschrijving: FTPS-afdwinging inschakelen voor verbeterde beveiliging (gerelateerd beleid: FTPS moet vereist zijn in uw web-app).
Ernst: Hoog
Function-app mag alleen toegankelijk zijn via HTTPS
Beschrijving: Het gebruik van HTTPS zorgt voor server-/serviceverificatie en beveiligt gegevens die worden verzonden tegen aanvallen via de netwerklaag. (Gerelateerd beleid: Functie-app mag alleen toegankelijk zijn via HTTPS).
Ernst: gemiddeld
Voor functie-apps moeten clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld
Beschrijving: Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. (Gerelateerd beleid: Voor functie-apps moet clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld.
Ernst: gemiddeld
Java moet worden bijgewerkt naar de nieuwste versie voor API-apps
Beschrijving: Periodiek worden nieuwere versies uitgebracht voor Java vanwege beveiligingsfouten of om extra functionaliteit op te nemen. Het gebruik van de nieuwste Python-versie voor API-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. (Gerelateerd beleid: Zorg ervoor dat de Java-versie de meest recente is als deze wordt gebruikt als onderdeel van de API-app).
Ernst: gemiddeld
Beheerde identiteit moet worden gebruikt in API-apps
Beschrijving: Gebruik een beheerde identiteit voor verbeterde verificatiebeveiliging. In Azure elimineren beheerde identiteiten de noodzaak voor ontwikkelaars om referenties te beheren door een identiteit voor de Azure-resource in Azure AD op te geven en deze te gebruiken voor het verkrijgen van Azure AD-tokens (Azure Active Directory). (Gerelateerd beleid: Beheerde identiteit moet worden gebruikt in uw API-app).
Ernst: gemiddeld
Beheerde identiteit moet worden gebruikt in functie-apps
Beschrijving: Gebruik een beheerde identiteit voor verbeterde verificatiebeveiliging. In Azure elimineren beheerde identiteiten de noodzaak voor ontwikkelaars om referenties te beheren door een identiteit voor de Azure-resource in Azure AD op te geven en deze te gebruiken voor het verkrijgen van Azure AD-tokens (Azure Active Directory). (Gerelateerd beleid: Beheerde identiteit moet worden gebruikt in uw functie-app).
Ernst: gemiddeld
Beheerde identiteit moet worden gebruikt in web-apps
Beschrijving: Gebruik een beheerde identiteit voor verbeterde verificatiebeveiliging. In Azure elimineren beheerde identiteiten de noodzaak voor ontwikkelaars om referenties te beheren door een identiteit voor de Azure-resource in Azure AD op te geven en deze te gebruiken voor het verkrijgen van Azure AD-tokens (Azure Active Directory). (Gerelateerd beleid: Beheerde identiteit moet worden gebruikt in uw web-app).
Ernst: gemiddeld
Microsoft Defender voor App Service moet zijn ingeschakeld
Beschrijving: Microsoft Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende web-app-aanvallen. Microsoft Defender voor App Service kan aanvallen op uw toepassingen detecteren en opkomende aanvallen identificeren.
Belangrijk: Als u deze aanbeveling herstelt, worden er kosten in rekening gebracht voor het beveiligen van uw App Service-plannen. Als u geen App Service-abonnementen in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst App Service-abonnementen maakt voor dit abonnement, worden deze automatisch beveiligd en worden de kosten op dat moment gestart. Meer informatie vindt u in Uw web-apps en API's beveiligen. (Gerelateerd beleid: Azure Defender voor App Service moet zijn ingeschakeld).
Ernst: Hoog
PHP moet worden bijgewerkt naar de nieuwste versie voor API-apps
Beschrijving: Periodiek worden nieuwere versies uitgebracht voor PHP-software vanwege beveiligingsfouten of om extra functionaliteit op te nemen. Het gebruik van de nieuwste PHP-versie voor API-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. (Gerelateerd beleid: Zorg ervoor dat de PHP-versie de meest recente is, als deze wordt gebruikt als onderdeel van de API-app).
Ernst: gemiddeld
Python moet worden bijgewerkt naar de nieuwste versie voor API-apps
Beschrijving: Periodiek worden nieuwere versies uitgebracht voor Python-software vanwege beveiligingsfouten of om extra functionaliteit op te nemen. Het gebruik van de nieuwste Python-versie voor API-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. (Gerelateerd beleid: Zorg ervoor dat de Python-versie de meest recente is, als deze wordt gebruikt als onderdeel van de API-app).
Ernst: gemiddeld
Externe foutopsporing moet worden uitgeschakeld voor API-app
Beschrijving: Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een API-app. Externe foutopsporing moet worden uitgeschakeld. (Gerelateerd beleid: Externe foutopsporing moet worden uitgeschakeld voor API-apps).
Ernst: Laag
Externe foutopsporing moet worden uitgeschakeld voor functie-app
Beschrijving: Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een Azure Function-app. Externe foutopsporing moet worden uitgeschakeld. (Gerelateerd beleid: Externe foutopsporing moet worden uitgeschakeld voor Functie-apps).
Ernst: Laag
Externe foutopsporing moet worden uitgeschakeld voor webtoepassingen
Beschrijving: Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een webtoepassing. Externe foutopsporing is momenteel uitgeschakeld. Als u externe foutopsporing niet meer nodig hebt, dient u dit uit te schakelen. (Gerelateerd beleid: Externe foutopsporing moet worden uitgeschakeld voor webtoepassingen).
Ernst: Laag
TLS moet worden bijgewerkt naar de nieuwste versie voor API-apps
Beschrijving: Voer een upgrade uit naar de nieuwste TLS-versie. (Gerelateerd beleid: De nieuwste TLS-versie moet worden gebruikt in uw API-app).
Ernst: Hoog
TLS moet worden bijgewerkt naar de nieuwste versie voor functie-apps
Beschrijving: Voer een upgrade uit naar de nieuwste TLS-versie. (Gerelateerd beleid: De nieuwste TLS-versie moet worden gebruikt in uw functie-app).
Ernst: Hoog
TLS moet worden bijgewerkt naar de nieuwste versie voor web-apps
Beschrijving: Voer een upgrade uit naar de nieuwste TLS-versie. (Gerelateerd beleid: De nieuwste TLS-versie moet worden gebruikt in uw web-app).
Ernst: Hoog
Webtoepassing mag alleen toegankelijk zijn via HTTPS
Beschrijving: Het gebruik van HTTPS zorgt voor server-/serviceverificatie en beveiligt gegevens die worden verzonden tegen aanvallen via de netwerklaag. (Gerelateerd beleid: Webtoepassing mag alleen toegankelijk zijn via HTTPS).
Ernst: gemiddeld
Web-apps moeten een SSL-certificaat aanvragen voor alle binnenkomende aanvragen
Beschrijving: Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. (Gerelateerd beleid: Zorg ervoor dat de WEB-app 'Clientcertificaten (inkomende clientcertificaten)' heeft ingesteld op 'Aan').
Ernst: gemiddeld
Aanbevelingen voor rekenkracht
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers
Beschrijving: Schakel toepassingsbesturingselementen in om de lijst met bekende veilige toepassingen op uw computers te definiëren en waarschuw u wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Defender voor Cloud machine learning om de toepassingen te analyseren die op elke machine worden uitgevoerd en om de lijst met bekende veilige toepassingen voor te stellen. (Gerelateerd beleid: Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten zijn ingeschakeld op uw computers).
Ernst: Hoog
De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt
Beschrijving: Controleren op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Defender voor Cloud. Defender voor Cloud machine learning gebruikt om de actieve processen op uw machines te analyseren en een lijst met bekende veilige toepassingen voor te stellen. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars. (Gerelateerd beleid: Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt.
Ernst: Hoog
Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist
Beschrijving: Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie vindt u in gedetailleerde stappen: SSH-sleutels maken en beheren voor verificatie bij een Virtuele Linux-machine in Azure. (Gerelateerd beleid: Linux-machines controleren die geen SSH-sleutel gebruiken voor verificatie).
Ernst: gemiddeld
Automation-accountvariabelen moeten worden versleuteld
Beschrijving: Het is belangrijk om versleuteling van variabele activa van automation-accounts in te schakelen bij het opslaan van gevoelige gegevens. (Gerelateerd beleid: Automation-accountvariabelen moeten worden versleuteld).
Ernst: Hoog
Azure Backup moet zijn ingeschakeld voor virtuele machines
Beschrijving: Beveilig de gegevens op uw virtuele Azure-machines met Azure Backup. Azure Backup is een Azure-systeemeigen, voordelige oplossing voor gegevensbescherming. Het maakt herstelpunten die worden opgeslagen in geografisch redundante Recovery Services-kluizen. Wanneer u vanaf een herstelpunt herstelt, kunt u de hele VM of specifieke bestanden herstellen. (Gerelateerd beleid: Azure Backup moet zijn ingeschakeld voor virtuele machines).
Ernst: Laag
Containerhosts moeten veilig worden geconfigureerd
Beschrijving: Herstel beveiligingsproblemen in de beveiligingsconfiguratie op computers waarop Docker is geïnstalleerd om ze te beschermen tegen aanvallen. (Gerelateerd beleid: Beveiligingsproblemen in containerbeveiligingsconfiguraties moeten worden hersteld).
Ernst: Hoog
Diagnostische logboeken in Azure Stream Analytics moeten zijn ingeschakeld
Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Azure Stream Analytics moeten zijn ingeschakeld).
Ernst: Laag
Diagnostische logboeken in Batch-accounts moeten worden ingeschakeld
Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Batch-accounts moeten zijn ingeschakeld).
Ernst: Laag
Diagnostische logboeken in Event Hubs moeten zijn ingeschakeld
Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Event Hubs moeten zijn ingeschakeld).
Ernst: Laag
Diagnostische logboeken in Logic Apps moeten zijn ingeschakeld
Beschrijving: Schakel logboekregistratie in om ervoor te zorgen dat u activiteitentrails kunt maken voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt of uw netwerk is aangetast. Als uw diagnostische logboeken niet worden verzonden naar een Log Analytics-werkruimte, Azure Storage-account of Azure Event Hubs, moet u ervoor zorgen dat u diagnostische instellingen hebt geconfigureerd om metrische platformgegevens en platformlogboeken naar de relevante bestemmingen te verzenden. Meer informatie vindt u in Diagnostische instellingen voor het verzenden van platformlogboeken en metrische gegevens naar verschillende bestemmingen. (Gerelateerd beleid: Diagnostische logboeken in Logic Apps moeten zijn ingeschakeld).
Ernst: Laag
Diagnostische logboeken in zoekservices moeten zijn ingeschakeld
Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Search-service moeten zijn ingeschakeld).
Ernst: Laag
Diagnostische logboeken in Service Bus moeten zijn ingeschakeld
Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Service Bus moeten zijn ingeschakeld).
Ernst: Laag
Diagnostische logboeken in Microsoft Azure Virtual Machine Scale Sets moeten zijn ingeschakeld
Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in virtuele-machineschaalsets moeten zijn ingeschakeld).
Ernst: Hoog
EDR-configuratieproblemen moeten worden opgelost op virtuele machines
Beschrijving: Los alle geïdentificeerde configuratieproblemen met de geïnstalleerde EDR-oplossing (Endpoint Detection and Response) op om virtuele machines te beschermen tegen de meest recente bedreigingen en beveiligingsproblemen.
Opmerking: Deze aanbeveling is momenteel alleen van toepassing op resources waarvoor MDE (Microsoft Defender voor Eindpunt) is ingeschakeld.
Ernst: Laag
De EDR-oplossing moet worden geïnstalleerd op virtuele machines
Beschrijving: Het installeren van een EDR-oplossing (Endpoint Detection and Response) op virtuele machines is belangrijk voor bescherming tegen geavanceerde bedreigingen. EDR's helpen bij het voorkomen, detecteren, onderzoeken en reageren op deze bedreigingen. Microsoft Defender voor Servers kan worden gebruikt om Microsoft Defender voor Eindpunt te implementeren. Als een resource is geclassificeerd als 'Niet in orde', geeft dit aan dat er geen ondersteunde EDR-oplossing is. Als een EDR-oplossing is geïnstalleerd maar niet kan worden gedetecteerd door deze aanbeveling, kan deze worden uitgesloten. Zonder een EDR-oplossing lopen de virtuele machines risico op geavanceerde bedreigingen.
Ernst: Hoog
Statusproblemen met Endpoint Protection in virtuele-machineschaalsets moeten worden opgelost
Beschrijving: Herstel statusfouten in eindpuntbeveiliging op uw virtuele-machineschaalsets om deze te beschermen tegen bedreigingen en beveiligingsproblemen. (Gerelateerd beleid: Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets).
Ernst: Laag
Endpoint Protection moet worden geïnstalleerd op virtuele-machineschaalsets
Beschrijving: Installeer een oplossing voor eindpuntbeveiliging op uw virtuele-machineschaalsets om deze te beschermen tegen bedreigingen en beveiligingsproblemen. (Gerelateerd beleid: Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets).
Ernst: Hoog
Bewaking van bestandsintegriteit moet zijn ingeschakeld op computers
Beschrijving: Defender voor Cloud heeft machines geïdentificeerd die een bewakingsoplossing voor bestandsintegriteit missen. Als u wijzigingen in kritieke bestanden, registersleutels en meer op uw servers wilt bewaken, schakelt u bewaking van bestandsintegriteit in. Wanneer de bewakingsoplossing voor bestandsintegriteit is ingeschakeld, maakt u regels voor gegevensverzameling om de bestanden te definiëren die moeten worden bewaakt. Als u regels wilt definiëren of de bestanden wilt zien die zijn gewijzigd op computers met bestaande regels, gaat u naar de beheerpagina voor bewaking van bestandsintegriteit. (Geen gerelateerd beleid)
Ernst: Hoog
De gastattestextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machineschaalsets
Beschrijving: Installeer de gastattestextensie op ondersteunde virtuele-machineschaalsets van Linux, zodat Microsoft Defender voor Cloud proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is alleen van toepassing op virtuele Linux-machineschaalsets met vertrouwde startmogelijkheden.
Belangrijk: Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist. U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze. Meer informatie over vertrouwde lancering voor virtuele Azure-machines. (Geen gerelateerd beleid)
Ernst: Laag
De Gastat attestation-extensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines
Beschrijving: Installeer de extensie gastverklaring op ondersteunde virtuele Linux-machines om Microsoft Defender voor Cloud proactief te bevestigen en de opstartintegriteit te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is alleen van toepassing op virtuele Linux-machines met vertrouwde startmogelijkheden.
Belangrijk: Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist. U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze. Meer informatie over vertrouwde lancering voor virtuele Azure-machines. (Geen gerelateerd beleid)
Ernst: Laag
De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele-machineschaalsets van Windows
Beschrijving: Installeer de gastattestextensie op ondersteunde virtuele-machineschaalsets, zodat Microsoft Defender voor Cloud proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is alleen van toepassing op virtuele-machineschaalsets met vertrouwde startmogelijkheden.
Belangrijk: Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist. U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze. Meer informatie over vertrouwde lancering voor virtuele Azure-machines. (Geen gerelateerd beleid)
Ernst: Laag
De Gast attestation-extensie moet worden geïnstalleerd op ondersteunde virtuele Windows-machines
Beschrijving: Installeer de extensie gastverklaring op ondersteunde virtuele machines zodat Microsoft Defender voor Cloud proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden.
Belangrijk: Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist. U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze. Meer informatie over vertrouwde lancering voor virtuele Azure-machines. (Geen gerelateerd beleid)
Ernst: Laag
De extensie voor gastconfiguratie moet worden geïnstalleerd op computers
Beschrijving: Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra dit is geïnstalleerd, is beleid voor in-guest beschikbaar, zoals Windows Exploit Guard, moet zijn ingeschakeld. (Gerelateerd beleid: Virtuele machines moeten de extensie Gastconfiguratie hebben).
Ernst: gemiddeld
Oplossing voor eindpuntbeveiliging installeren op virtuele machines
Beschrijving: Installeer een oplossing voor eindpuntbeveiliging op uw virtuele machines om deze te beschermen tegen bedreigingen en beveiligingsproblemen. (Gerelateerd beleid: Ontbrekende Endpoint Protection bewaken in Azure Security Center).
Ernst: Hoog
Virtuele Linux-machines moeten validatie van kernelmodulehandtekening afdwingen
Beschrijving: Om te helpen beperken tegen de uitvoering van schadelijke of niet-geautoriseerde code in de kernelmodus, dwingt u validatie van kernelmodulehandtekening af op ondersteunde virtuele Linux-machines. Validatie van kernelmodulehandtekening zorgt ervoor dat alleen vertrouwde kernelmodules mogen worden uitgevoerd. Deze evaluatie is alleen van toepassing op virtuele Linux-machines waarop de Azure Monitor-agent is geïnstalleerd. (Geen gerelateerd beleid)
Ernst: Laag
Virtuele Linux-machines mogen alleen ondertekende en vertrouwde opstartonderdelen gebruiken
Beschrijving: Als Beveiligd opstarten is ingeschakeld, moeten alle opstartonderdelen van het besturingssysteem (opstartlaadprogramma, kernel, kernelstuurprogramma's) worden ondertekend door vertrouwde uitgevers. Defender voor Cloud heeft niet-vertrouwde opstartonderdelen van het besturingssysteem geïdentificeerd op een of meer van uw Linux-machines. Als u uw computers wilt beschermen tegen mogelijk schadelijke onderdelen, voegt u deze toe aan uw acceptatielijst of verwijdert u de geïdentificeerde onderdelen. (Geen gerelateerd beleid)
Ernst: Laag
Virtuele Linux-machines moeten beveiligd opstarten gebruiken
Beschrijving: Schakel Secure Boot in op ondersteunde virtuele Linux-machines om te beschermen tegen de installatie van op malware gebaseerde rootkits en opstartkits. Beveiligd opstarten zorgt ervoor dat alleen ondertekende besturingssystemen en stuurprogramma's mogen worden uitgevoerd. Deze evaluatie is alleen van toepassing op virtuele Linux-machines waarop de Azure Monitor-agent is geïnstalleerd. (Geen gerelateerd beleid)
Ernst: Laag
De Log Analytics-agent moet worden geïnstalleerd op Linux-computers met Azure Arc
Beschrijving: Defender voor Cloud de Log Analytics-agent (ook wel BEKEND als OMS) gebruikt om beveiligingsevenementen van uw Azure Arc-machines te verzamelen. Als u de agent op al uw Azure Arc-computers wilt implementeren, volgt u de herstelstappen. (Geen gerelateerd beleid)
Ernst: Hoog
De Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsets
Beschrijving: Defender voor Cloud verzamelt gegevens van uw virtuele Azure-machines (VM's) om te controleren op beveiligingsproblemen en bedreigingen. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens voor analyse naar uw werkruimte kopieert. U moet deze procedure ook volgen als uw VM's worden gebruikt door een door Azure beheerde service, zoals Azure Kubernetes Service of Azure Service Fabric. U kunt het automatisch inrichten van de agent voor virtuele-machineschaalsets van Azure niet configureren. Volg de procedure in de herstelstappen om de agent te implementeren in virtuele-machineschaalsets (inclusief de services die worden gebruikt door Azure beheerde services, zoals de Azure Kubernetes Service en Azure Service Fabric). (Gerelateerd beleid: De Log Analytics-agent moet worden geïnstalleerd op uw virtuele-machineschaalsets voor bewaking van Azure Security Center).
Ernst: Hoog
De Log Analytics-agent moet worden geïnstalleerd op virtuele machines
Beschrijving: Defender voor Cloud verzamelt gegevens van uw virtuele Azure-machines (VM's) om te controleren op beveiligingsproblemen en bedreigingen. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens voor analyse naar uw Log Analytics-werkruimte kopieert. Deze agent is ook vereist als uw VM's worden gebruikt door een door Azure beheerde service, zoals Azure Kubernetes Service of Azure Service Fabric. U wordt aangeraden automatische inrichting te configureren om de agent automatisch te implementeren. Als u ervoor kiest geen automatische inrichting te gebruiken, implementeert u de agent handmatig op uw virtuele machines met behulp van de instructies in de herstelstappen. (Gerelateerd beleid: De Log Analytics-agent moet zijn geïnstalleerd op uw virtuele machine voor bewaking van Azure Security Center).
Ernst: Hoog
De Log Analytics-agent moet worden geïnstalleerd op Windows-computers met Azure Arc
Beschrijving: Defender voor Cloud de Log Analytics-agent (ook wel bekend als MMA) gebruikt om beveiligingsevenementen van uw Azure Arc-machines te verzamelen. Als u de agent op al uw Azure Arc-computers wilt implementeren, volgt u de herstelstappen. (Geen gerelateerd beleid)
Ernst: Hoog
Machines moeten veilig worden geconfigureerd
Beschrijving: Herstel beveiligingsproblemen in de beveiligingsconfiguratie op uw computers om ze te beschermen tegen aanvallen. (Gerelateerd beleid: Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld.
Ernst: Laag
Machines moeten opnieuw worden opgestart om beveiligingsupdates toe te passen
Beschrijving: Als u beveiligingsupdates wilt toepassen en bescherming wilt bieden tegen beveiligingsproblemen, start u uw computers opnieuw op. Deze evaluatie is alleen van toepassing op virtuele Linux-machines waarop de Azure Monitor-agent is geïnstalleerd. (Geen gerelateerd beleid)
Ernst: Laag
Machines moeten een oplossing voor evaluatie van beveiligingsproblemen hebben
Beschrijving: Defender voor Cloud controleert regelmatig uw verbonden machines om ervoor te zorgen dat ze hulpprogramma's voor evaluatie van beveiligingsproblemen uitvoeren. Gebruik deze aanbeveling om een oplossing voor evaluatie van beveiligingsproblemen te implementeren. (Gerelateerd beleid: Er moet een oplossing voor evaluatie van beveiligingsproblemen zijn ingeschakeld op uw virtuele machines).
Ernst: gemiddeld
Op computers moeten de resultaten van beveiligingsproblemen zijn opgelost
Beschrijving: Los de bevindingen van de oplossingen voor evaluatie van beveiligingsproblemen op uw virtuele machines op. (Gerelateerd beleid: Er moet een oplossing voor evaluatie van beveiligingsproblemen zijn ingeschakeld op uw virtuele machines).
Ernst: Laag
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer
Beschrijving: Defender voor Cloud heeft een aantal te ruime regels voor inkomend verkeer voor beheerpoorten in uw netwerkbeveiligingsgroep geïdentificeerd. Schakel Just-In-Time-toegangsbeheer in om uw VM te beschermen tegen beveiligingsaanvallen van internet. Meer informatie over Just-In-Time -VM-toegang (JIT). (Gerelateerd beleid: Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer).
Ernst: Hoog
Microsoft Defender voor servers moet zijn ingeschakeld
Beschrijving: Microsoft Defender voor servers biedt realtime bedreigingsbeveiliging voor uw serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. U kunt deze informatie gebruiken om snel beveiligingsproblemen op te lossen en om de beveiliging van uw servers te verbeteren.
Belangrijk: Als u deze aanbeveling herstelt, worden er kosten in rekening gebracht voor het beveiligen van uw servers. Als u geen servers voor dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst servers voor dit abonnement maakt, worden deze automatisch beveiligd en worden de kosten vanaf dat moment berekend. Meer informatie vindt u in Inleiding tot Microsoft Defender voor servers. (Gerelateerd beleid: Azure Defender voor servers moet zijn ingeschakeld).
Ernst: Hoog
Microsoft Defender voor servers moet zijn ingeschakeld voor werkruimten
Beschrijving: Microsoft Defender voor servers biedt detectie van bedreigingen en geavanceerde verdediging voor uw Windows- en Linux-machines. Als dit Defender-abonnement is ingeschakeld voor uw abonnementen, maar niet in uw werkruimten, betaalt u voor de volledige functionaliteit van Microsoft Defender voor servers, maar mist u enkele van de voordelen. Wanneer u Microsoft Defender voor servers in een werkruimte inschakelt, worden alle computers die aan die werkruimte rapporteren gefactureerd voor Microsoft Defender voor servers, zelfs als ze zich in abonnementen bevinden zonder Defender-abonnementen ingeschakeld. Tenzij u Microsoft Defender ook inschakelt voor servers in het abonnement, kunnen deze machines niet profiteren van Just-In-Time-VM-toegang, adaptieve toepassingsregelaars en netwerkdetecties voor Azure-resources. Meer informatie vindt u in Inleiding tot Microsoft Defender voor servers. (Geen gerelateerd beleid)
Ernst: gemiddeld
Beveiligd opstarten moet zijn ingeschakeld op ondersteunde virtuele Windows-machines
Beschrijving: Schakel Beveiligd opstarten in op ondersteunde virtuele Windows-machines om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. Deze evaluatie is alleen van toepassing op virtuele Windows-machines met vertrouwde startmogelijkheden.
Belangrijk: Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist. U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze. Meer informatie over vertrouwde lancering voor virtuele Azure-machines. (Geen gerelateerd beleid)
Ernst: Laag
Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign
Beschrijving: Service Fabric biedt drie beveiligingsniveaus (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten met behulp van een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend. (Gerelateerd beleid: Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign).
Ernst: Hoog
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie
Beschrijving: Voer alleen clientverificatie uit via Azure Active Directory in Service Fabric (gerelateerd beleid: Service Fabric-clusters mogen alleen Azure Active Directory gebruiken voor clientverificatie).
Ernst: Hoog
Systeemupdates op virtuele-machineschaalsets moeten worden geïnstalleerd
Beschrijving: Installeer ontbrekende systeembeveiliging en essentiële updates om uw virtuele-machineschaalsets van Windows en Linux te beveiligen. (Gerelateerd beleid: Systeemupdates voor virtuele-machineschaalsets moeten worden geïnstalleerd).
Ernst: Hoog
Systeemupdates moeten op uw computers worden geïnstalleerd
Beschrijving: Installeer ontbrekende systeembeveiliging en essentiële updates om uw virtuele Windows- en Linux-machines en -computers te beveiligen (gerelateerd beleid: Systeemupdates moeten worden geïnstalleerd op uw machines).
Ernst: Hoog
Er moeten systeemupdates worden geïnstalleerd op uw computers (mogelijk gemaakt door Update Center)
Beschrijving: Er ontbreken systeem-, beveiligings- en essentiële updates op uw computers. Software-updates bevatten vaak essentiële patches voor beveiligingslekken. Dergelijke lekken worden vaak misbruikt in malware-aanvallen, zodat het essentieel is om uw software bijgewerkt te worden. Als u alle openstaande patches wilt installeren en uw computers wilt beveiligen, volgt u de herstelstappen. (Geen gerelateerd beleid)
Ernst: Hoog
Virtuele-machineschaalsets moeten veilig worden geconfigureerd
Beschrijving: Herstel beveiligingsproblemen in de beveiligingsconfiguratie op uw virtuele-machineschaalsets om ze te beschermen tegen aanvallen. (Gerelateerd beleid: Beveiligingsproblemen in de beveiligingsconfiguratie op uw virtuele-machineschaalsets moeten worden hersteld.
Ernst: Hoog
Status van gastverklaring van virtuele machines moet in orde zijn
Beschrijving: Guest Attestation wordt uitgevoerd door een vertrouwd logboek (TCGLog) naar een attestation-server te verzenden. De server gebruikt deze logboeken om te bepalen of opstartonderdelen betrouwbaar zijn. Deze evaluatie is bedoeld om inbreuk op de opstartketen te detecteren, wat het gevolg kan zijn van een bootkit- of rootkit-infectie. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden waarop de extensie Guest Attestation is geïnstalleerd. (Geen gerelateerd beleid)
Ernst: gemiddeld
De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit
Beschrijving: Voor de extensie voor gastconfiguratie is een door het systeem toegewezen beheerde identiteit vereist. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie (gerelateerd beleid: Extensie voor gastconfiguratie moet worden geïmplementeerd op virtuele Azure-machines met door het systeem toegewezen beheerde identiteit).
Ernst: gemiddeld
Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources
Beschrijving: Virtuele machines (klassiek) zijn afgeschaft en deze VM's moeten worden gemigreerd naar Azure Resource Manager. Omdat Azure Resource Manager nu over volledige IaaS-mogelijkheden en andere geavanceerde functies beschikt, is het beheer van virtuele IaaS-machines (VM's) via Azure Service Manager (ASM) op 28 februari 2020 afgeschaft. Deze functie wordt volledig buiten gebruik gesteld op 1 maart 2023.
Als u alle betrokken klassieke VM's wilt weergeven, moet u alle Azure-abonnementen selecteren op het tabblad Mappen en abonnementen.
Beschikbare resources en informatie over dit hulpprogramma en deze migratie: Overzicht van afschaffing van virtuele machines (klassiek), stapsgewijs proces voor migratie en beschikbare Microsoft-resources.Details over migratie naar Azure Resource Manager-migratieprogramma.Migreren naar azure Resource Manager-migratieprogramma met behulp van PowerShell. (Gerelateerd beleid: Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources).
Ernst: Hoog
Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen
Beschrijving: het besturingssysteem en de gegevensschijven van een virtuele machine zijn standaard versleuteld at-rest met behulp van door het platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagresources. Zie voor een vergelijking van verschillende schijfversleutelingstechnologieën in Azure https://aka.ms/diskencryptioncomparison. Gebruik Azure Disk Encryption om al deze gegevens te versleutelen. Negeer deze aanbeveling als:
- U gebruikt de functie versleuteling op host of 2. Versleuteling van Managed Disks aan de serverzijde voldoet aan uw beveiligingsvereisten. Meer informatie over versleuteling aan de serverzijde van Azure Disk Storage. (Gerelateerd beleid: Schijfversleuteling moet worden toegepast op virtuele machines)
Ernst: Hoog
vTPM moet zijn ingeschakeld op ondersteunde virtuele machines
Beschrijving: Schakel het virtuele TPM-apparaat in op ondersteunde virtuele machines om gemeten opstarten en andere beveiligingsfuncties van het besturingssysteem waarvoor een TPM is vereist, mogelijk te maken. Zodra vTPM is ingeschakeld, kan vTPM worden gebruikt om de opstartintegriteit te bevestigen. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden.
Belangrijk: Voor vertrouwde lancering is het maken van nieuwe virtuele machines vereist. U kunt vertrouwde start niet inschakelen op bestaande virtuele machines die in eerste instantie zijn gemaakt zonder deze. Meer informatie over vertrouwde lancering voor virtuele Azure-machines. (Geen gerelateerd beleid)
Ernst: Laag
Beveiligingsproblemen in de beveiligingsconfiguratie op uw Linux-machines moeten worden hersteld (mogelijk gemaakt door gastconfiguratie)
Beschrijving: Herstel beveiligingsproblemen in de beveiligingsconfiguratie op uw Linux-machines om ze te beschermen tegen aanvallen. (Gerelateerd beleid: Linux-machines moeten voldoen aan de vereisten voor de Azure-beveiligingsbasislijn).
Ernst: Laag
Beveiligingsproblemen in de beveiligingsconfiguratie op uw Windows-computers moeten worden hersteld (mogelijk gemaakt door gastconfiguratie)
Beschrijving: Herstel beveiligingsproblemen in de beveiligingsconfiguratie op uw Windows-computers om ze te beschermen tegen aanvallen. (Geen gerelateerd beleid)
Ernst: Laag
Windows Defender Exploit Guard moet zijn ingeschakeld op computers
Beschrijving: Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). (Gerelateerd beleid: Windows-machines controleren waarop Windows Defender Exploit Guard niet is ingeschakeld).
Ernst: gemiddeld
Windows-webservers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen
Beschrijving: Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw webservers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk met behulp van beveiligingscertificaten om een verbinding tussen machines te versleutelen. (Gerelateerd beleid: Windows-webservers controleren die geen beveiligde communicatieprotocollen gebruiken).
Ernst: Hoog
[Preview]: Virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen
Beschrijving: het besturingssysteem en de gegevensschijven van een virtuele machine zijn standaard versleuteld at-rest met behulp van door het platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagresources. Gebruik Azure Disk Encryption of EncryptionAtHost om al deze gegevens te versleutelen. Bezoek https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. (Gerelateerd beleid: [Preview]: Virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen.
Ernst: Hoog
[Preview]: Virtuele Windows-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen
Beschrijving: het besturingssysteem en de gegevensschijven van een virtuele machine zijn standaard versleuteld at-rest met behulp van door het platform beheerde sleutels; tijdelijke schijven en gegevenscaches worden niet versleuteld en gegevens worden niet versleuteld bij het stromen tussen reken- en opslagresources. Gebruik Azure Disk Encryption of EncryptionAtHost om al deze gegevens te versleutelen. Bezoek https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. (Gerelateerd beleid: [Preview]: Virtuele Windows-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen.
Ernst: Hoog
Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host
Beschrijving: Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie vindt u in Azure Portal om end-to-end-versleuteling in te schakelen met behulp van versleuteling op de host. (Gerelateerd beleid: Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host).
Ernst: gemiddeld
(Preview) Azure Stack HCI-servers moeten voldoen aan vereisten voor beveiligde kernen
Beschrijving: Zorg ervoor dat alle Azure Stack HCI-servers voldoen aan de vereisten voor beveiligde kernen. (Gerelateerd beleid: De extensie voor gastconfiguratie moet worden geïnstalleerd op computers - Microsoft Azure).
Ernst: Laag
(Preview) Azure Stack HCI-servers moeten consistent beleid voor toepassingsbeheer hebben afgedwongen
Beschrijving: Pas minimaal het Microsoft WDAC-basisbeleid toe in de afgedwongen modus op alle Azure Stack HCI-servers. Toegepaste WDAC-beleidsregels (Windows Defender Application Control) moeten consistent zijn op alle servers in hetzelfde cluster. (Gerelateerd beleid: De extensie voor gastconfiguratie moet worden geïnstalleerd op computers - Microsoft Azure).
Ernst: Hoog
(Preview) Azure Stack HCI-systemen moeten versleutelde volumes hebben
Beschrijving: Gebruik BitLocker om het besturingssysteem en gegevensvolumes op Azure Stack HCI-systemen te versleutelen. (Gerelateerd beleid: De extensie voor gastconfiguratie moet worden geïnstalleerd op computers - Microsoft Azure).
Ernst: Hoog
(Preview) Host- en VM-netwerken moeten worden beveiligd op Azure Stack HCI-systemen
Beschrijving: Gegevens beveiligen op het netwerk van de Azure Stack HCI-host en op netwerkverbindingen van virtuele machines. (Gerelateerd beleid: De extensie voor gastconfiguratie moet worden geïnstalleerd op computers - Microsoft Azure).
Ernst: Laag
Containeraanbevelingen
[Preview] Containerinstallatiekopieën in Het Azure-register moeten gevonden beveiligingsproblemen hebben opgelost
Beschrijving: Defender voor Cloud scant uw registerinstallatiekopieën op bekende beveiligingsproblemen (CVE's) en biedt gedetailleerde bevindingen voor elke gescande installatiekopieën. Door beveiligingsproblemen voor containerinstallatiekopieën in het register te scannen en op te lossen, kunt u een veilige en betrouwbare softwareleveringsketen onderhouden, het risico op beveiligingsincidenten verminderen en naleving van industriestandaarden garanderen.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
[Preview] Containers die worden uitgevoerd in Azure, moeten gevonden beveiligingsproblemen hebben opgelost
Beschrijving: Defender voor Cloud maakt een inventaris van alle containerworkloads die momenteel worden uitgevoerd in uw Kubernetes-clusters en biedt beveiligingsrapporten voor deze workloads door de installatiekopieën te koppelen die worden gebruikt en de rapporten over beveiligingsproblemen die zijn gemaakt voor de registerinstallatiekopieën. Het scannen en oplossen van beveiligingsproblemen van containerworkloads is essentieel om een robuuste en veilige software-toeleveringsketen te garanderen, het risico op beveiligingsincidenten te verminderen en ervoor te zorgen dat de industriestandaarden voldoen.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
(Inschakelen indien nodig) Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
Beschrijving: Aanbevelingen om door de klant beheerde sleutels te gebruiken voor versleuteling van data-at-rest, worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door service beheerde sleutels, maar door de klant beheerde sleutels (CMK) zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/acr/CMK. (Gerelateerd beleid: Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel (CMK).
Ernst: Laag
Type: Besturingsvlak
Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd
Beschrijving: Azure Policy-extensie voor Kubernetes breidt Gatekeeper v3, een toegangscontrollerwebhook voor Open Policy Agent (OPA) uit om op schaal afdwinging en beveiliging op uw clusters op een gecentraliseerde, consistente manier toe te passen. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Besturingsvlak
Voor Kubernetes-clusters met Azure Arc moet de Defender-extensie zijn geïnstalleerd
Beschrijving: Defender's extensie voor Azure Arc biedt bedreigingsbeveiliging voor uw Kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten van het besturingsvlak (master) in het cluster en verzendt deze naar de back-end van Microsoft Defender voor Kubernetes in de cloud voor verdere analyse. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Besturingsvlak
Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld
Beschrijving: Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u het Profiel SecurityProfile.AzureDefender inschakelt in uw Azure Kubernetes Service-cluster, wordt er een agent geïmplementeerd in uw cluster om beveiligingsgegevens te verzamelen. Meer informatie vindt u in Inleiding tot Microsoft Defender for Containers. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Besturingsvlak
Voor Azure Kubernetes Service-clusters moet de Azure Policy-invoegtoepassing voor Kubernetes zijn geïnstalleerd
Beschrijving: Azure Policy-invoegtoepassing voor Kubernetes breidt Gatekeeper v3, een toegangscontrollerwebhook voor Open Policy Agent (OPA) uit om op schaal afdwinging en beveiliging op uw clusters op een gecentraliseerde, consistente manier toe te passen. Defender voor Cloud vereist dat de invoegtoepassing beveiligingsmogelijkheden en naleving binnen uw clusters controleert en afdwingt. Meer informatie. Vereist Kubernetes v1.14.0 of hoger. (Gerelateerd beleid: De Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters.
Ernst: Hoog
Type: Besturingsvlak
Containerregisters mogen geen onbeperkte netwerktoegang toestaan
Beschrijving: Azure-containerregisters accepteren standaard verbindingen via internet vanaf hosts op elk netwerk. Als u uw registers tegen mogelijke dreigingen wilt beveiligen, moet u alleen toegang vanaf specifieke openbare IP-adressen of adresbereiken toestaan. Als uw register geen IP/firewallregel of een geconfigureerd virtueel netwerk heeft, wordt het in de beschadigde resources weergegeven. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/portal/public-network en hier https://aka.ms/acr/vnet. (Gerelateerd beleid: Containerregisters mogen geen onbeperkte netwerktoegang toestaan).
Ernst: gemiddeld
Type: Besturingsvlak
Containerregisters moeten een privékoppeling gebruiken
Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw containerregisters in plaats van de hele service, wordt u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. (Gerelateerd beleid: Containerregisters moeten gebruikmaken van private link).
Ernst: gemiddeld
Type: Besturingsvlak
Diagnostische logboeken in Kubernetes-services moeten zijn ingeschakeld
Beschrijving: Schakel diagnostische logboeken in uw Kubernetes-services in en bewaar ze maximaal een jaar. Hiermee kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt. (Geen gerelateerd beleid)
Ernst: Laag
Type: Besturingsvlak
Kubernetes-API-server moet worden geconfigureerd met beperkte toegang
Beschrijving: Als u ervoor wilt zorgen dat alleen toepassingen van toegestane netwerken, machines of subnetten toegang hebben tot uw cluster, beperkt u de toegang tot uw Kubernetes-API-server. U kunt de toegang beperken door geautoriseerde IP-bereiken te definiëren of door uw API-servers in te stellen als privéclusters, zoals wordt uitgelegd in Een privé-Azure Kubernetes Service-cluster maken. (Gerelateerd beleid: Geautoriseerde IP-bereiken moeten worden gedefinieerd in Kubernetes Services).
Ernst: Hoog
Type: Besturingsvlak
Op rollen gebaseerd toegangsbeheer moet worden gebruikt voor Kubernetes Services
Beschrijving: Als u gedetailleerde filters wilt bieden voor de acties die gebruikers kunnen uitvoeren, gebruikt u op rollen gebaseerd toegangsbeheer (RBAC) voor het beheren van machtigingen in Kubernetes Service-clusters en configureert u relevante autorisatiebeleidsregels. (Gerelateerd beleid: Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services.
Ernst: Hoog
Type: Besturingsvlak
Microsoft Defender voor containers moet zijn ingeschakeld
Beschrijving: Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multicloud Kubernetes-omgevingen. U kunt deze informatie gebruiken om snel beveiligingsproblemen op te lossen en om de beveiliging van uw containers te verbeteren.
Belangrijk: Als u deze aanbeveling herstelt, worden kosten in rekening gebracht voor het beveiligen van uw Kubernetes-clusters. Als u geen Kubernetes-clusters voor dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst Kubernetes-clusters voor dit abonnement maakt, worden deze automatisch beveiligd en worden de kosten op dat moment gestart. Meer informatie vindt u in Inleiding tot Microsoft Defender for Containers. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Besturingsvlak
De CPU- en geheugenlimieten van containers moeten worden afgedwongen
Beschrijving: Het afdwingen van CPU- en geheugenlimieten voorkomt aanvallen op resources (een vorm van Denial of Service-aanval).
We raden u aan limieten voor containers in te stellen om ervoor te zorgen dat de container niet meer dan de geconfigureerde resourcelimiet gebruikt.
(Gerelateerd beleid: Zorg ervoor dat de limieten voor cpu- en geheugenresources van containers niet groter zijn dan de opgegeven limieten in het Kubernetes-cluster.
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Containerinstallatiekopieën mogen alleen worden geïmplementeerd vanuit vertrouwde registers
Beschrijving: Installatiekopieën die worden uitgevoerd op uw Kubernetes-cluster moeten afkomstig zijn van bekende en bewaakte containerinstallatiekopieën. Vertrouwde registers verminderen het blootstellingsrisico van uw cluster door het potentieel voor de introductie van onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën te beperken.
(Gerelateerd beleid: Zorg ervoor dat alleen toegestane containerinstallatiekopieën in een Kubernetes-cluster zijn toegestaan).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Container met escalatie van bevoegdheden moet worden vermeden
Beschrijving: Containers mogen niet worden uitgevoerd met escalatie van bevoegdheden naar root in uw Kubernetes-cluster. Met het kenmerk AllowPrivilegeEscalation wordt bepaald of een proces meer bevoegdheden kan krijgen dan het bovenliggende proces. (Gerelateerd beleid: Kubernetes-clusters mogen geen escalatie van containerbevoegdheden toestaan).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Containers die gevoelige hostnaamruimten delen, moeten worden vermeden
Beschrijving: Voorkom podtoegang tot gevoelige hostnaamruimten (hostproces-id en host-IPC) in een Kubernetes-cluster om bescherming te bieden tegen escalatie van bevoegdheden buiten de container. (Gerelateerd beleid: Kubernetes-clustercontainers mogen geen hostproces-id of host-IPC-naamruimte delen).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Containers mogen alleen toegestane AppArmor-profielen gebruiken
Beschrijving: Containers die worden uitgevoerd op Kubernetes-clusters moeten alleen worden beperkt tot toegestane AppArmor-profielen. ; AppArmor (Application Armor) is een Linux-beveiligingsmodule die een besturingssysteem en de bijbehorende toepassingen beschermt tegen beveiligingsrisico's. Een systeembeheerder koppelt een AppArmor-beveiligingsprofiel aan elk programma om het te gebruiken. (Gerelateerd beleid: Kubernetes-clustercontainers mogen alleen toegestane AppArmor-profielen gebruiken).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Onveranderbaar (alleen-lezen) hoofdbestandssysteem moet worden afgedwongen voor containers
Beschrijving: Containers moeten worden uitgevoerd met een alleen-lezen hoofdbestandssysteem in uw Kubernetes-cluster. Het onveranderbare bestandssysteem beschermt containers tijdens het uitvoeren tegen wijzigingen met schadelijke binaire bestanden die worden toegevoegd aan het pad. (Gerelateerd beleid: Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezen hoofdbestandssysteem).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS
Beschrijving: Het gebruik van HTTPS zorgt voor verificatie en beveiligt gegevens die onderweg zijn tegen afluisteraanvallen in de netwerklaag. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor AKS Engine en Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc (Gerelateerd beleid: HTTPS-inkomend verkeer afdwingen in Kubernetes-cluster).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen
Beschrijving: Schakel automatisch koppelen van API-referenties uit om te voorkomen dat een mogelijk aangetaste Pod-resource API-opdrachten uitvoert op Kubernetes-clusters. Zie https://aka.ms/kubepolicydoc voor meer informatie. (Gerelateerd beleid: Kubernetes-clusters moeten api-referenties automatisch koppelen uitschakelen).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Kubernetes-clusters mogen geen CAPSYSADMIN-beveiligingsmogelijkheden verlenen
Beschrijving: Als u de kwetsbaarheid voor aanvallen van uw containers wilt verminderen, beperkt u CAP_SYS_ADMIN Linux-mogelijkheden. Zie https://aka.ms/kubepolicydoc voor meer informatie. (Geen gerelateerd beleid)
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Kubernetes-clusters mogen de standaard naamruimte niet gebruiken
Beschrijving: Voorkom het gebruik van de standaardnaamruimte in Kubernetes-clusters om te beveiligen tegen onbevoegde toegang voor resourcetypen ConfigMap, Pod, Secret, Service en ServiceAccount. Zie https://aka.ms/kubepolicydoc voor meer informatie. (Gerelateerd beleid: Kubernetes-clusters mogen niet gebruikmaken van de standaardnaamruimte).
Ernst: Laag
Type: Kubernetes-gegevensvlak
Minimaal bevoegde Linux-functies moeten worden afgedwongen voor containers
Beschrijving: Als u de kwetsbaarheid voor aanvallen van uw container wilt verminderen, beperkt u de Linux-mogelijkheden en verleent u specifieke bevoegdheden aan containers zonder alle bevoegdheden van de hoofdgebruiker toe te kennen. We raden u aan alle mogelijkheden te verwijderen en vervolgens de mogelijkheden toe te voegen die vereist zijn (gerelateerd beleid: Kubernetes-clustercontainers mogen alleen toegestane mogelijkheden gebruiken).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Bevoegde containers moeten worden vermeden
Beschrijving: Om onbeperkte hosttoegang te voorkomen, vermijdt u waar mogelijk bevoegde containers.
Bevoegde containers hebben alle hoofdfuncties van een hostcomputer. Ze kunnen worden gebruikt als toegangspunten voor aanvallen en om schadelijke code of malware te verspreiden naar gecompromitteerde toepassingen, hosts en netwerken. (Gerelateerd beleid: Sta geen bevoegde containers toe in een Kubernetes-cluster).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Het uitvoeren van containers als hoofdgebruiker moet worden vermeden
Beschrijving: Containers mogen niet worden uitgevoerd als hoofdgebruikers in uw Kubernetes-cluster. Als een proces als hoofdgebruiker wordt uitgevoerd in een container, wordt het als hoofdgebruiker uitgevoerd op de host. Als er sprake is van een inbreuk, heeft een aanvaller root in de container en worden eventuele onjuiste configuraties gemakkelijker te misbruiken. (Gerelateerd beleid: Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met goedgekeurde gebruikers- en groeps-id's).
Ernst: Hoog
Type: Kubernetes-gegevensvlak
Services mogen alleen op toegestane poorten luisteren
Beschrijving: Als u de kwetsbaarheid voor aanvallen van uw Kubernetes-cluster wilt verminderen, beperkt u de toegang tot het cluster door de toegang tot services tot de geconfigureerde poorten te beperken. (Gerelateerd beleid: Zorg ervoor dat services alleen luisteren op toegestane poorten in kubernetes-cluster).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Het gebruik van hostnetwerken en -poorten moet worden beperkt
Beschrijving: Beperk podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Pods die zijn gemaakt met het hostNetwork-kenmerk ingeschakeld, delen de netwerkruimte van het knooppunt. Als u wilt voorkomen dat de gecompromitteerde container het netwerkverkeer overneemt, kunt u de pods beter niet in het hostnetwerk te plaatsen. Als u een containerpoort beschikbaar wilt maken in het netwerk van het knooppunt en een Kubernetes Service-knooppuntpoort niet aan uw behoeften voldoet, kunt u ook een hostPort opgeven voor de container in de podspecificatie. (Gerelateerd beleid: Kubernetes-clusterpods mogen alleen goedgekeurd hostnetwerk en poortbereik gebruiken).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Het gebruik van pod HostPath-volumekoppelingen moet worden beperkt tot een bekende lijst om de toegang tot knooppunten van geïnfecteerde containers te beperken
Beschrijving: Het is raadzaam om hostPath-podvolumekoppelingen in uw Kubernetes-cluster te beperken tot de geconfigureerde toegestane hostpaden. Als er sprake is van een inbreuk, moet de toegang tot het containerknooppunt van de containers worden beperkt. (Gerelateerd beleid: HostPath-volumes van Kubernetes-clusterpods mogen alleen toegestane hostpaden gebruiken).
Ernst: gemiddeld
Type: Kubernetes-gegevensvlak
Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Qualys)
Beschrijving: Evaluatie van beveiligingsproblemen in containerinstallatiekopieën scant uw register op beveiligingsproblemen en toont gedetailleerde bevindingen voor elke installatiekopie. Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen. (Gerelateerd beleid: Beveiligingsproblemen in Azure Container Registry-installatiekopieën moeten worden hersteld).
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)
Belangrijk
Deze aanbeveling bevindt zich op een buitengebruikstellingspad. Deze wordt vervangen door de aanbeveling [[Preview] Containerinstallatiekopieën in het Azure-register moeten beveiligingsproblemen hebben opgelost](#preview-container-images-in-azure-registry-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkey33422d8f-ab1e-42be-bc9a-38685bb567b9).
Beschrijving: Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. (Gerelateerd beleid: Beveiligingsproblemen in Azure Container Registry-installatiekopieën moeten worden hersteld).
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management)
Belangrijk
Deze aanbeveling bevindt zich op een buitengebruikstellingspad. Deze wordt vervangen door de aanbeveling [[Preview] Containers die worden uitgevoerd in Azure moeten beveiligingsproblemen hebben opgelost](#preview-containers-running-in-azure-should-have-vulnerability-findings-resolvedhttpsportalazurecomblademicrosoft_azure_securityrecommendationsbladeassessmentkeye9acaf48-d2cf-45a3-a6e7-3caa2ef769e0).
Beschrijving: Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd.
Ernst: Hoog
Type: Evaluatie van beveiligingsproblemen
Aanbevelingen voor gegevens
(Inschakelen indien nodig) Azure Cosmos DB-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
Beschrijving: Aanbevelingen om door de klant beheerde sleutels te gebruiken voor versleuteling van data-at-rest, worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve Azure Cosmos DB te beheren. Standaard worden de gegevens in rust versleuteld met door service beheerde sleutels, maar door de klant beheerde sleutels (CMK) zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/cosmosdb-cmk. (Gerelateerd beleid: Azure Cosmos DB-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen).
Ernst: Laag
(Inschakelen indien nodig) Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK)
Beschrijving: Aanbevelingen om door de klant beheerde sleutels te gebruiken voor versleuteling van data-at-rest, worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Versleuteling in rust van uw Azure Machine Learning-werkruimtegegevens beheren met door de klant beheerde sleutels (CMK). Standaard worden de klantgegevens versleuteld met door service beheerde sleutels, maar CMK‘s zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/azureml-workspaces-cmk. (Gerelateerd beleid: Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel (CMK).
Ernst: Laag
(Inschakelen indien nodig) Cognitive Services-accounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel (CMK)
Beschrijving: Aanbevelingen om door de klant beheerde sleutels te gebruiken voor versleuteling van data-at-rest, worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. CMK's (door de klant beheerde sleutels) zijn doorgaans vereist om te voldoen de nalevingsstandaarden voor regelgeving. CMK‘s zorgen ervoor dat de gegevens die zijn opgeslagen in Cognitive Services, worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/cosmosdb-cmk. (Gerelateerd beleid: Cognitive Services-accounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel? (CMK))
Ernst: Laag
(Inschakelen indien nodig) MySQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
Beschrijving: Aanbevelingen om door de klant beheerde sleutels te gebruiken voor versleuteling van data-at-rest, worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve MySQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door service beheerde sleutels, maar door de klant beheerde sleutels (CMK) zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. (Gerelateerd beleid: Bring Your Own Key Data Protection moet zijn ingeschakeld voor MySQL-servers).
Ernst: Laag
(Inschakelen indien nodig) PostgreSQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
Beschrijving: Aanbevelingen om door de klant beheerde sleutels te gebruiken voor versleuteling van data-at-rest, worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve PostgreSQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door service beheerde sleutels, maar door de klant beheerde sleutels (CMK) zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. (Gerelateerd beleid: Bring Your Own Key Data Protection moet zijn ingeschakeld voor PostgreSQL-servers).
Ernst: Laag
(Inschakelen indien nodig) Met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt om data-at-rest te versleutelen
Beschrijving: Aanbevelingen om door de klant beheerde sleutels te gebruiken voor versleuteling van data-at-rest, worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. (Gerelateerd beleid: Beheerde SQL-exemplaren moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen).
Ernst: Laag
(Inschakelen indien nodig) SQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen
Beschrijving: Aanbevelingen om door de klant beheerde sleutels te gebruiken voor versleuteling van data-at-rest, worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. (Gerelateerd beleid: SQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen).
Ernst: Laag
(Inschakelen indien nodig) Opslagaccounts moeten cmk (door de klant beheerde sleutel) gebruiken voor versleuteling
Beschrijving: Aanbevelingen om door de klant beheerde sleutels te gebruiken voor versleuteling van data-at-rest, worden niet standaard beoordeeld, maar zijn beschikbaar om in te schakelen voor toepasselijke scenario's. Gegevens worden automatisch versleuteld met behulp van door het platform beheerde sleutels, dus het gebruik van door de klant beheerde sleutels mag alleen worden toegepast wanneer dit is verplicht door nalevingsvereisten of beperkende beleidsvereisten. Als u deze aanbeveling wilt inschakelen, gaat u naar uw beveiligingsbeleid voor het toepasselijke bereik en werkt u de parameter Effect voor het bijbehorende beleid bij om het gebruik van door de klant beheerde sleutels te controleren of af te dwingen. Meer informatie vindt u in Beveiligingsbeleid beheren. Beveilig uw opslagaccount met meer flexibiliteit met behulp van door klant beheerde sleutels (CMK's). Wanneer u een CMK opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van CMK's biedt extra mogelijkheden voor het beheren van de rotatie van de sleutelversleutelingssleutel of het cryptografisch wissen van gegevens. (Gerelateerd beleid: Opslagaccounts moeten cmk (door de klant beheerde sleutel) gebruiken voor versleuteling.
Ernst: Laag
Alle advanced threat protection-typen moeten zijn ingeschakeld in geavanceerde instellingen voor gegevensbeveiliging van SQL Managed Instance
Beschrijving: Het wordt aanbevolen om alle geavanceerde typen bedreigingsbeveiliging in te schakelen op uw beheerde SQL-exemplaren. Alle typen inschakelen biedt beveiliging tegen SQL-injectie, databaseproblemen en andere afwijkende activiteiten. (Geen gerelateerd beleid)
Ernst: gemiddeld
Alle advanced threat protection-typen moeten zijn ingeschakeld in geavanceerde beveiligingsinstellingen voor SQL Server-gegevens
Beschrijving: Het wordt aanbevolen om alle geavanceerde typen bedreigingsbeveiliging op uw SQL-servers in te schakelen. Alle typen inschakelen biedt beveiliging tegen SQL-injectie, databaseproblemen en andere afwijkende activiteiten. (Geen gerelateerd beleid)
Ernst: gemiddeld
API Management-services moeten een virtueel netwerk gebruiken
Beschrijving: Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service in een niet-internet routeerbaar netwerk te plaatsen waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. (Gerelateerd beleid: API Management-services moeten gebruikmaken van een virtueel netwerk).
Ernst: gemiddeld
Voor App Configuration moeten privékoppelingen worden gebruikt
Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. (Gerelateerd beleid: App Configuration moet gebruikmaken van private link).
Ernst: gemiddeld
Controleretentie voor SQL-servers moet worden ingesteld op ten minste 90 dagen
Beschrijving: SQL-servers controleren die zijn geconfigureerd met een bewaarperiode voor controle van minder dan 90 dagen. (Gerelateerd beleid: SQL-servers moeten worden geconfigureerd met 90 dagen controleretentie of hoger.)
Ernst: Laag
Controle op SQL Server moet zijn ingeschakeld
Beschrijving: Schakel controle op uw SQL Server in om databaseactiviteiten in alle databases op de server bij te houden en op te slaan in een auditlogboek. (Gerelateerd beleid: Controle op SQL Server moet zijn ingeschakeld).
Ernst: Laag
Automatische inrichting van de Log Analytics-agent moet zijn ingeschakeld voor abonnementen
Beschrijving: Om te controleren op beveiligingsproblemen en bedreigingen, verzamelt Microsoft Defender voor Cloud gegevens van uw virtuele Azure-machines. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens kopieert naar uw Log Analytics-werkruimte voor analyse. U wordt aangeraden automatische inrichting in te schakelen om de agent automatisch te implementeren op alle ondersteunde Azure-VM‘s en eventuele nieuwe virtuele machines die worden gemaakt. (Gerelateerd beleid: Automatische inrichting van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement.
Ernst: Laag
Azure Cache voor Redis moet zich in een virtueel netwerk bevinden
Beschrijving: De implementatie van Azure Virtual Network (VNet) biedt verbeterde beveiliging en isolatie voor uw Azure Cache voor Redis, evenals subnetten, toegangsbeheerbeleid en andere functies om de toegang verder te beperken. Wanneer een Azure Cache voor Redis exemplaar is geconfigureerd met een VNet, is het niet openbaar adresseerbaar en kan het alleen worden geopend vanuit virtuele machines en toepassingen binnen het VNet. (Gerelateerd beleid: Azure Cache voor Redis zich in een virtueel netwerk moet bevinden).
Ernst: gemiddeld
Azure Database for MySQL moet een Azure Active Directory-beheerder hebben ingericht
Beschrijving: Richt een Azure AD-beheerder in voor uw Azure Database for MySQL om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer mogelijk voor databasegebruikers en andere Microsoft-services (Gerelateerd beleid: Een Azure Active Directory-beheerder moet worden ingericht voor MySQL-servers).
Ernst: gemiddeld
Azure Database for PostgreSQL moet een Azure Active Directory-beheerder hebben ingericht
Beschrijving: Richt een Azure AD-beheerder in voor uw Azure Database for PostgreSQL om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk
(Gerelateerd beleid: Een Azure Active Directory-beheerder moet worden ingericht voor PostgreSQL-servers).
Ernst: gemiddeld
Azure Cosmos DB-accounts moeten firewallregels bevatten
Beschrijving: Firewallregels moeten worden gedefinieerd voor uw Azure Cosmos DB-accounts om te voorkomen dat verkeer afkomstig is van onbevoegde bronnen. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. (Gerelateerd beleid: Azure Cosmos DB-accounts moeten firewallregels hebben).
Ernst: gemiddeld
Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt
Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Event Grid-domeinen in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. (Gerelateerd beleid: Azure Event Grid-domeinen moeten gebruikmaken van private link).
Ernst: gemiddeld
Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt
Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw onderwerpen in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. (Gerelateerd beleid: Azure Event Grid-onderwerpen moeten gebruikmaken van private link).
Ernst: gemiddeld
Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link
Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw Azure Machine Learning-werkruimten toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/azureml-workspaces-privatelink. (Gerelateerd beleid: Azure Machine Learning-werkruimten moeten gebruikmaken van private link).
Ernst: gemiddeld
Voor Azure SignalR Service moet Private Link worden gebruikt
Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw SignalR-resources in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/asrs/privatelink. (Gerelateerd beleid: Azure SignalR Service moet private link gebruiken).
Ernst: gemiddeld
Azure Spring Cloud moet netwerkinjectie gebruiken
Beschrijving: Azure Spring Cloud-exemplaren moeten virtuele netwerkinjectie gebruiken voor de volgende doeleinden: 1. Azure Spring Cloud isoleren van internet. 2. Azure Spring Cloud-interactie met systemen inschakelen in on-premises datacentrums of Azure-services in andere virtuele netwerken. 3. Klanten in staat stellen de binnenkomende en uitgaande netwerkcommunicatie voor Azure Spring Cloud te beheren. (Gerelateerd beleid: Azure Spring Cloud moet netwerkinjectie gebruiken).
Ernst: gemiddeld
SQL-servers moeten een Azure Active Directory-beheerder hebben ingericht
Beschrijving: Richt een Azure AD-beheerder in voor uw SQL-server om Azure AD-verificatie in te schakelen. Met Azure AD-verificatie zijn vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk. (Gerelateerd beleid: Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers).
Ernst: Hoog
Verificatiemodus voor Azure Synapse-werkruimte moet alleen Azure Active Directory zijn
Beschrijving: De verificatiemodus voor Azure Synapse-werkruimte moet alleen Azure Active Directory zijn, maar alleen verificatiemethoden van Azure Active Directory verbeteren de beveiliging door ervoor te zorgen dat Synapse-werkruimten uitsluitend Azure AD-identiteiten vereisen voor verificatie. Meer informatie. (Gerelateerd beleid: Synapse-werkruimten mogen alleen Azure Active Directory-identiteiten gebruiken voor verificatie).
Ernst: gemiddeld
In codeopslagplaatsen moeten de resultaten van codescans zijn opgelost
Beschrijving: Defender voor DevOps heeft beveiligingsproblemen gevonden in codeopslagplaatsen. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen om deze beveiligingsproblemen te verhelpen. (Geen gerelateerd beleid)
Ernst: gemiddeld
De resultaten van het scannen van Dependabot in codeopslagplaatsen moeten zijn opgelost
Beschrijving: Defender voor DevOps heeft beveiligingsproblemen gevonden in codeopslagplaatsen. Om de beveiligingspostuur van de opslagplaatsen te verbeteren, wordt het ten zeerste aanbevolen om deze beveiligingsproblemen te verhelpen. (Geen gerelateerd beleid)
Ernst: gemiddeld
Codeopslagplaatsen moeten infrastructuur hebben als het scannen van code is opgelost
Beschrijving: Defender voor DevOps heeft infrastructuur gevonden als problemen met de configuratie van codebeveiliging in opslagplaatsen. De onderstaande problemen zijn gedetecteerd in sjabloonbestanden. Om de beveiligingsstatus van de gerelateerde cloudresources te verbeteren, wordt het ten zeerste aanbevolen om deze problemen op te lossen. (Geen gerelateerd beleid)
Ernst: gemiddeld
Codeopslagplaatsen moeten geheime scanresultaten hebben opgelost
Beschrijving: Defender voor DevOps heeft een geheim gevonden in codeopslagplaatsen. Dit moet onmiddellijk worden hersteld om een beveiligingsschending te voorkomen. Geheimen in opslagplaatsen kunnen worden gelekt of gedetecteerd door kwaadwillende personen, wat leidt tot inbreuk op een toepassing of service. Voor Azure DevOps scant het hulpprogramma Microsoft Security DevOps CredScan alleen builds waarop het is geconfigureerd om uit te voeren. De resultaten weerspiegelen daarom mogelijk niet de volledige status van geheimen in uw opslagplaatsen. (Geen gerelateerd beleid)
Ernst: Hoog
Voor Cognitive Services-accounts moet gegevensversleuteling zijn ingeschakeld
Beschrijving: Met dit beleid worden alle Cognitive Services-accounts gecontroleerd die geen gegevensversleuteling gebruiken. Voor alle Cognitive Services-accounts met opslag moet gegevensversleuteling zijn ingeschakeld met door de klant of door Microsoft beheerde sleutels. (Gerelateerd beleid: Cognitive Services-accounts moeten gegevensversleuteling inschakelen).
Ernst: Laag
Cognitive Services-accounts moeten opslag in eigendom van de klant gebruiken of gegevensversleuteling inschakelen
Beschrijving: Met dit beleid worden alle Cognitive Services-accounts gecontroleerd die geen gebruik maken van opslag in eigendom van de klant of gegevensversleuteling. Voor alle Cognitive Services-accounts met opslag gebruikt u opslag van de klant of schakelt u gegevensversleuteling in. (Gerelateerd beleid: Cognitive Services-accounts moeten opslag in eigendom van de klant gebruiken of gegevensversleuteling inschakelen.)
Ernst: Laag
Diagnostische logboeken in Azure Data Lake Store moeten zijn ingeschakeld
Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Azure Data Lake Store moeten zijn ingeschakeld).
Ernst: Laag
Diagnostische logboeken in Data Lake Analytics moeten zijn ingeschakeld
Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Data Lake Analytics moeten zijn ingeschakeld).
Ernst: Laag
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld
Beschrijving: Schakel e-mailmeldingen in voor waarschuwingen met een hoge ernst in Defender voor Cloud om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er een mogelijke beveiligingsschending in een van uw abonnementen is. (Gerelateerd beleid: E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld).
Ernst: Laag
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld
Beschrijving: Stel e-mailmeldingen in op abonnementseigenaren voor waarschuwingen met een hoge ernst in Defender voor Cloud om ervoor te zorgen dat uw abonnementseigenaren op de hoogte worden gesteld wanneer er sprake is van een mogelijke beveiligingsschending in hun abonnement. (Gerelateerd beleid: E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld).
Ernst: gemiddeld
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers
Beschrijving: Azure Database for MySQL ondersteunt het verbinden van uw Azure Database for MySQL-server met clienttoepassingen met behulp van Secure Sockets Layer (SSL). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. (Gerelateerd beleid: SSL-verbinding afdwingen moet zijn ingeschakeld voor MySQL-databaseservers).
Ernst: gemiddeld
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers
Beschrijving: Azure Database for PostgreSQL ondersteunt het verbinden van uw Azure Database for PostgreSQL-server met clienttoepassingen met ssl (Secure Sockets Layer). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. (Gerelateerd beleid: SSL-verbinding afdwingen moet zijn ingeschakeld voor PostgreSQL-databaseservers).
Ernst: gemiddeld
Functie-apps moeten gevonden beveiligingsproblemen hebben opgelost
Beschrijving: Het scannen van runtimeproblemen op functies scant uw functie-apps op beveiligingsproblemen en toont gedetailleerde bevindingen. Het oplossen van de beveiligingsproblemen kan de beveiligingsstatus van uw serverloze toepassingen aanzienlijk verbeteren en deze beschermen tegen aanvallen. (Geen gerelateerd beleid)
Ernst: Hoog
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB
Beschrijving: Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om herstelopties te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan bij het maken van een server. (Gerelateerd beleid: Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB).
Ernst: Laag
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL
Beschrijving: Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om herstelopties te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan bij het maken van een server. (Gerelateerd beleid: Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL).
Ernst: Laag
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL
Beschrijving: Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om herstelopties te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan bij het maken van een server. (Gerelateerd beleid: Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL).
Ernst: Laag
Voor GitHub-opslagplaatsen moet codescans zijn ingeschakeld
Beschrijving: GitHub gebruikt codescans om code te analyseren om beveiligingsproblemen en fouten in code te vinden. Codescans kunnen worden gebruikt voor het vinden, classificeren en prioriteren van oplossingen voor bestaande problemen in uw code. Codescans kunnen ook voorkomen dat ontwikkelaars nieuwe problemen introduceren. Scans kunnen worden gepland voor specifieke dagen en tijden, of scans kunnen worden geactiveerd wanneer een specifieke gebeurtenis plaatsvindt in de opslagplaats, zoals een push. Als codescans een mogelijk beveiligingsprobleem of een mogelijke fout in code vinden, wordt in GitHub een waarschuwing weergegeven in de opslagplaats. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project te beschadigen. (Geen gerelateerd beleid)
Ernst: gemiddeld
Voor GitHub-opslagplaatsen moet het scannen van Dependabot zijn ingeschakeld
Beschrijving: GitHub verzendt Dependabot-waarschuwingen wanneer beveiligingsproblemen in codeafhankelijkheden worden gedetecteerd die van invloed zijn op opslagplaatsen. Een beveiligingsprobleem is een probleem in de code van een project die kan worden misbruikt om de vertrouwelijkheid, integriteit of beschikbaarheid van het project of andere projecten die de bijbehorende code gebruiken, te beschadigen. Beveiligingsproblemen variëren per type, ernst en aanvalsmethode. Wanneer code afhankelijk is van een pakket met een beveiligingsprobleem, kan deze kwetsbare afhankelijkheid een reeks problemen veroorzaken. (Geen gerelateerd beleid)
Ernst: gemiddeld
Voor GitHub-opslagplaatsen moet geheimscans zijn ingeschakeld
Beschrijving: GitHub scant opslagplaatsen voor bekende typen geheimen om frauduleus gebruik van geheimen te voorkomen die per ongeluk zijn doorgevoerd in opslagplaatsen. Scannen van geheimen scant de volledige Git-geschiedenis op alle vertakkingen die aanwezig zijn in de GitHub-opslagplaats voor geheimen. Voorbeelden van geheimen zijn tokens en persoonlijke sleutels die een serviceprovider kan uitgeven voor verificatie. Als een geheim is ingecheckt in een opslagplaats, kan iedereen die leestoegang tot de opslagplaats heeft, het geheim gebruiken om toegang te krijgen tot de externe service met deze bevoegdheden. Geheimen moeten worden opgeslagen op een toegewezen, veilige locatie buiten de opslagplaats voor het project. (Geen gerelateerd beleid)
Ernst: Hoog
Microsoft Defender voor Azure SQL Database-servers moeten zijn ingeschakeld
Beschrijving: Microsoft Defender voor SQL is een geïntegreerd pakket dat geavanceerde SQL-beveiligingsmogelijkheden biedt. Het bevat functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging van uw database en het detecteren en classificeren van gevoelige gegevens. Belangrijk: er worden kosten in rekening gebracht voor de beveiliging van dit abonnement, zoals wordt weergegeven op de pagina Defender-abonnementen . Als u geen Azure SQL Database-servers in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u later Azure SQL Database-servers in dit abonnement maakt, worden deze automatisch beveiligd en worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio. Meer informatie vindt u in Inleiding tot Microsoft Defender voor SQL. (Gerelateerd beleid: Azure Defender voor Azure SQL Database-servers moeten zijn ingeschakeld).
Ernst: Hoog
Microsoft Defender voor DNS moet zijn ingeschakeld
Beschrijving: Microsoft Defender voor DNS biedt een extra beveiligingslaag voor uw cloudresources door voortdurend alle DNS-query's van uw Azure-resources te bewaken. Defender voor DNS waarschuwt u voor verdachte activiteiten op de DNS-laag. Meer informatie vindt u in Inleiding tot Microsoft Defender voor DNS. Als u dit Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Defender voor Cloud: Defender voor Cloud Prijzen. (Geen gerelateerd beleid)
Ernst: Hoog
Microsoft Defender voor opensource-relationele databases moet zijn ingeschakeld
Beschrijving: Microsoft Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie vindt u in Inleiding tot Microsoft Defender voor opensource-relationele databases.
Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Als u geen opensource-relationele databases in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst opensource-relationele databases voor dit abonnement maakt, worden deze automatisch beveiligd en worden de kosten op dat moment gestart. (Geen gerelateerd beleid)
Ernst: Hoog
Microsoft Defender voor Resource Manager moet zijn ingeschakeld
Beschrijving: Microsoft Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Defender voor Cloud bedreigingen detecteert en waarschuwt u over verdachte activiteiten. Meer informatie vindt u in Inleiding tot Microsoft Defender voor Resource Manager. Als u dit Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Defender voor Cloud: Defender voor Cloud Prijzen. (Geen gerelateerd beleid)
Ernst: Hoog
Microsoft Defender voor SQL op computers moet zijn ingeschakeld voor werkruimten
Beschrijving: Microsoft Defender voor servers biedt detectie van bedreigingen en geavanceerde verdediging voor uw Windows- en Linux-machines. Als dit Defender-abonnement is ingeschakeld voor uw abonnementen, maar niet in uw werkruimten, betaalt u voor de volledige functionaliteit van Microsoft Defender voor servers, maar mist u enkele van de voordelen. Wanneer u Microsoft Defender voor servers in een werkruimte inschakelt, worden alle computers die aan die werkruimte rapporteren gefactureerd voor Microsoft Defender voor servers, zelfs als ze zich in abonnementen bevinden zonder Defender-abonnementen ingeschakeld. Tenzij u Microsoft Defender ook inschakelt voor servers in het abonnement, kunnen deze machines niet profiteren van Just-In-Time-VM-toegang, adaptieve toepassingsregelaars en netwerkdetecties voor Azure-resources. Meer informatie vindt u in Inleiding tot Microsoft Defender voor servers. (Geen gerelateerd beleid)
Ernst: gemiddeld
Microsoft Defender voor SQL-servers op computers moeten zijn ingeschakeld
Beschrijving: Microsoft Defender voor SQL is een geïntegreerd pakket dat geavanceerde SQL-beveiligingsmogelijkheden biedt. Het bevat functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging van uw database en het detecteren en classificeren van gevoelige gegevens.
Belangrijk: Als u deze aanbeveling herstelt, worden er kosten in rekening gebracht voor het beveiligen van uw SQL-servers op computers. Als u geen SQL-servers op computers in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u in de toekomst SQL-servers op computers maakt voor dit abonnement, worden deze automatisch beveiligd en worden de kosten op dat moment gestart. Meer informatie over Microsoft Defender voor SQL-servers op computers. (Gerelateerd beleid: Azure Defender voor SQL-servers op computers moeten zijn ingeschakeld).
Ernst: Hoog
Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers
Beschrijving: Microsoft Defender voor SQL is een geïntegreerd pakket dat geavanceerde SQL-beveiligingsmogelijkheden biedt. Het bevat functionaliteit voor het opsporen en verhelpen van mogelijke beveiligingsproblemen van uw databases en het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging van uw database. Microsoft Defender voor SQL wordt gefactureerd zoals weergegeven in prijsgegevens per regio. (Gerelateerd beleid: Geavanceerde gegevensbeveiliging moet zijn ingeschakeld op uw SQL-servers).
Ernst: Hoog
Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances
Beschrijving: Microsoft Defender voor SQL is een geïntegreerd pakket dat geavanceerde SQL-beveiligingsmogelijkheden biedt. Het bevat functionaliteit voor het opsporen en verhelpen van mogelijke beveiligingsproblemen van uw databases en het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging van uw database. Microsoft Defender voor SQL wordt gefactureerd zoals weergegeven in prijsgegevens per regio. (Gerelateerd beleid: Geavanceerde gegevensbeveiliging moet zijn ingeschakeld voor SQL Managed Instance).
Ernst: Hoog
Microsoft Defender voor Storage moet zijn ingeschakeld
Beschrijving: Microsoft Defender voor opslag detecteert ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. Belangrijk: er worden kosten in rekening gebracht voor de beveiliging van dit abonnement, zoals wordt weergegeven op de pagina Defender-abonnementen . Als u geen Azure Storage-accounts in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u later Azure Storage-accounts voor dit abonnement maakt, worden deze automatisch beveiligd en worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio. Meer informatie vindt u in Inleiding tot Microsoft Defender voor Storage. (Gerelateerd beleid: Azure Defender voor Storage moet zijn ingeschakeld).
Ernst: Hoog
Network Watcher moet zijn ingeschakeld
Beschrijving: Network Watcher is een regionale service waarmee u voorwaarden kunt bewaken en diagnosticeren op netwerkscenarioniveau in, naar en van Azure. Met bewaking op scenarioniveau kunt u problemen vaststellen in een end-to-end netwerkniveauweergave. U kunt de beschikbare diagnostische en visualisatiehulpprogramma's voor netwerken in Network Watcher gebruiken om uw netwerk in Azure te begrijpen, te analyseren en inzichten voor uw netwerk te verkrijgen. (Gerelateerd beleid: Network Watcher moet zijn ingeschakeld).
Ernst: Laag
Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld
Beschrijving: Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door privéconnectiviteit met Azure SQL Database in te schakelen. (Gerelateerd beleid: Privé-eindpuntverbindingen in Azure SQL Database moeten zijn ingeschakeld).
Ernst: gemiddeld
Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers
Beschrijving: Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit met Azure Database for MariaDB in te schakelen. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. (Gerelateerd beleid: Privé-eindpunt moet zijn ingeschakeld voor MariaDB-servers).
Ernst: gemiddeld
Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers
Beschrijving: Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit met Azure Database for MySQL in te schakelen. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. (Gerelateerd beleid: Privé-eindpunt moet zijn ingeschakeld voor MySQL-servers).
Ernst: gemiddeld
Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers
Beschrijving: Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit met Azure Database for PostgreSQL in te schakelen. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. (Gerelateerd beleid: Privé-eindpunt moet zijn ingeschakeld voor PostgreSQL-servers).
Ernst: gemiddeld
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld
Beschrijving: Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanaf een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. (Gerelateerd beleid: Openbare netwerktoegang in Azure SQL Database moet worden uitgeschakeld).
Ernst: gemiddeld
Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers
Beschrijving: Schakel de eigenschap openbare netwerktoegang uit om de beveiliging te verbeteren en zorg ervoor dat uw Azure Database for MariaDB alleen toegankelijk is vanaf een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. (Gerelateerd beleid: Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers).
Ernst: gemiddeld
Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers
Beschrijving: Schakel de eigenschap openbare netwerktoegang uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanaf een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. (Gerelateerd beleid: Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers).
Ernst: gemiddeld
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers
Beschrijving: Schakel de eigenschap openbare netwerktoegang uit om de beveiliging te verbeteren en zorg ervoor dat uw Azure Database for PostgreSQL alleen toegankelijk is vanaf een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk. (Gerelateerd beleid: Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers).
Ernst: gemiddeld
Redis Cache mag alleen toegang via SSL toestaan
Beschrijving: Schakel alleen verbindingen in via SSL naar Redis Cache. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking. (Gerelateerd beleid: Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld).
Ernst: Hoog
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost
Beschrijving: Sql Vulnerability Assessment scant uw database op beveiligingsproblemen en maakt afwijkingen van aanbevolen procedures beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. Meer informatie (gerelateerd beleid: Beveiligingsproblemen in uw SQL-databases moeten worden hersteld).
Ernst: Hoog
Voor BEHEERDE SQL-exemplaren moet evaluatie van beveiligingsproblemen zijn geconfigureerd
Beschrijving: Evaluatie van beveiligingsproblemen kan potentiële beveiligingsproblemen detecteren, bijhouden en oplossen. (Gerelateerd beleid: Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance).
Ernst: Hoog
SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost
Beschrijving: Sql Vulnerability Assessment scant uw database op beveiligingsproblemen en maakt afwijkingen van aanbevolen procedures beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. Meer informatie (Gerelateerd beleid: Beveiligingsproblemen op uw SQL-servers op de computer moeten worden hersteld).
Ernst: Hoog
SQL-servers moeten een Azure Active Directory-beheerder hebben ingericht
Beschrijving: Richt een Azure AD-beheerder in voor uw SQL-server om Azure AD-verificatie in te schakelen. Met Azure AD-verificatie zijn vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk. (Gerelateerd beleid: Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers).
Ernst: Hoog
SQL-servers moeten evaluatie van beveiligingsproblemen hebben geconfigureerd
Beschrijving: Evaluatie van beveiligingsproblemen kan potentiële beveiligingsproblemen detecteren, bijhouden en oplossen. (Gerelateerd beleid: Evaluatie van beveiligingsproblemen moet zijn ingeschakeld op uw SQL-servers).
Ernst: Hoog
Voor een opslagaccount moet een verbinding via een privékoppeling worden gebruikt
Beschrijving: Privékoppelingen dwingen beveiligde communicatie af door privéconnectiviteit met het opslagaccount te bieden (gerelateerd beleid: Opslagaccount moet een private link-verbinding gebruiken).
Ernst: gemiddeld
Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources
Beschrijving: Als u wilt profiteren van nieuwe mogelijkheden in Azure Resource Manager, kunt u bestaande implementaties migreren vanuit het klassieke implementatiemodel. Resource Manager maakt beveiligingsverbeteringen mogelijk, zoals: sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van ARM, toegang tot beheerde identiteiten, toegang tot sleutelkluis voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer. Meer informatie (gerelateerd beleid: Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources).
Ernst: Laag
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken
Beschrijving: Bescherm uw opslagaccounts tegen mogelijke bedreigingen met behulp van regels voor virtuele netwerken als voorkeursmethode in plaats van filteren op basis van IP. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. (Gerelateerd beleid: Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken).
Ernst: gemiddeld
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten
Beschrijving: Als u ervoor wilt zorgen dat de relevante personen in uw organisatie op de hoogte worden gesteld wanneer er een mogelijke beveiligingsschending in een van uw abonnementen is, stelt u een beveiligingscontactpersoon in om e-mailmeldingen van Defender voor Cloud te ontvangen. (Gerelateerd beleid: Abonnementen moeten een e-mailadres voor contactpersonen hebben voor beveiligingsproblemen)
Ernst: Laag
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld
Beschrijving: Transparante gegevensversleuteling inschakelen om data-at-rest te beveiligen en te voldoen aan nalevingsvereisten (Gerelateerd beleid: Transparent Data Encryption op SQL-databases moet zijn ingeschakeld).
Ernst: Laag
VM Image Builder-sjablonen moeten een private link gebruiken
Beschrijving: Vm Image Builder-sjablonen controleren waarvoor geen virtueel netwerk is geconfigureerd. Wanneer een virtueel netwerk niet is geconfigureerd, wordt er een openbaar IP-adres gemaakt en gebruikt, waardoor resources mogelijk rechtstreeks beschikbaar worden gemaakt op internet en de potentiële kwetsbaarheid voor aanvallen kan toenemen. (Gerelateerd beleid: VM Image Builder-sjablonen moeten gebruikmaken van private link).
Ernst: gemiddeld
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway
Beschrijving: Implementeer Azure Web Application Firewall (WAF) vóór openbare webtoepassingen voor aanvullende inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen/regio's, IP-adresbereiken en andere HTTP-parameters via aangepaste regels. (Gerelateerd beleid: WaF (Web Application Firewall) moet zijn ingeschakeld voor Application Gateway.
Ernst: Laag
WaF (Web Application Firewall) moet zijn ingeschakeld voor de Azure Front Door Service-service
Beschrijving: Implementeer Azure Web Application Firewall (WAF) vóór openbare webtoepassingen voor aanvullende inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen/regio's, IP-adresbereiken en andere HTTP-parameters via aangepaste regels. (Gerelateerd beleid: WaF (Web Application Firewall) moet zijn ingeschakeld voor Azure Front Door Service?service)
Ernst: Laag
Cognitive Services moet gebruikmaken van een privékoppeling
Beschrijving: Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen. (Gerelateerd beleid: Cognitive Services moet gebruikmaken van private link).
Ernst: gemiddeld
Azure Cosmos DB moet openbare netwerktoegang uitschakelen
Beschrijving: Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Cosmos DB-account niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Cosmos DB-account beperken. Meer informatie. (Gerelateerd beleid: Azure Cosmos DB moet openbare netwerktoegang uitschakelen).
Ernst: gemiddeld
Cosmos DB-accounts moeten private link gebruiken
Beschrijving: Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Cosmos DB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen. (Gerelateerd beleid: Cosmos DB-accounts moeten gebruikmaken van private link).
Ernst: gemiddeld
Azure SQL Database moet TLS-versie 1.2 of hoger uitvoeren
Beschrijving: TLS-versie instellen op 1.2 of hoger verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanaf clients met TLS 1.2 of hoger. Het is raadzaam geen lagere TLS-versies dan 1.2 te gebruiken, omdat deze goed gedocumenteerde beveiligingsproblemen hebben. (Gerelateerd beleid: In Azure SQL Database moet TLS-versie 1.2 of hoger worden uitgevoerd.
Ernst: gemiddeld
Azure SQL Managed Instances moet openbare netwerktoegang uitschakelen
Beschrijving: Het uitschakelen van openbare netwerktoegang (openbaar eindpunt) in Azure SQL Managed Instances verbetert de beveiliging door ervoor te zorgen dat ze alleen toegankelijk zijn vanuit hun virtuele netwerken of via privé-eindpunten. Meer informatie over openbare netwerktoegang. (Gerelateerd beleid: Azure SQL Managed Instances moet openbare netwerktoegang uitschakelen).
Ernst: gemiddeld
Opslagaccounts moeten toegang tot gedeelde sleutels voorkomen
Beschrijving: Controlevereiste van Azure Active Directory (Azure AD) om aanvragen voor uw opslagaccount te autoriseren. Aanvragen kunnen standaard worden geautoriseerd met Azure Active Directory-referenties of met behulp van de accounttoegangssleutel voor autorisatie van gedeelde sleutels. Van deze twee typen autorisatie biedt Azure AD superieure beveiliging en gebruiksgemak ten opzichte van gedeelde sleutels en wordt aanbevolen door Microsoft. (Gerelateerd beleid: beleid)
Ernst: gemiddeld
Aanbevelingen voor identiteit en toegang
Er moeten maximaal 3 eigenaren worden aangewezen voor abonnementen
Beschrijving: Als u het risico op schendingen door gecompromitteerde eigenaarsaccounts wilt verminderen, raden we u aan het aantal eigenaarsaccounts te beperken tot maximaal 3 (Gerelateerd beleid: maximaal 3 eigenaren moeten worden aangewezen voor uw abonnement).
Ernst: Hoog
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld
Beschrijving: Als u alleen wachtwoorden gebruikt om uw gebruikers te verifiëren, laat u een aanvalsvector open. Gebruikers gebruiken vaak zwakke wachtwoorden voor meerdere services. Door meervoudige verificatie (MFA) in te schakelen, biedt u betere beveiliging voor uw accounts, terwijl uw gebruikers zich nog steeds kunnen verifiëren bij bijna elke toepassing met eenmalige aanmelding (SSO). Meervoudige verificatie is een proces waarbij gebruikers tijdens het aanmeldingsproces om een andere vorm van identificatie worden gevraagd. Een code kan bijvoorbeeld naar hun mobiele telefoon worden verzonden of ze kunnen worden gevraagd om een vingerafdrukscan. U wordt aangeraden MFA in te schakelen voor alle accounts met eigenaarsmachtigingen voor Azure-resources, om schendingen en aanvallen te voorkomen. Meer details en veelgestelde vragen zijn hier beschikbaar: Meervoudige verificatie (MFA) afdwingen voor uw abonnementen beheren (geen gerelateerd beleid).
Ernst: Hoog
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld
Beschrijving: Als u alleen wachtwoorden gebruikt om uw gebruikers te verifiëren, laat u een aanvalsvector open. Gebruikers gebruiken vaak zwakke wachtwoorden voor meerdere services. Door meervoudige verificatie (MFA) in te schakelen, biedt u betere beveiliging voor uw accounts, terwijl uw gebruikers zich nog steeds kunnen verifiëren bij bijna elke toepassing met eenmalige aanmelding (SSO). Meervoudige verificatie is een proces waarbij gebruikers tijdens het aanmeldingsproces worden gevraagd om een extra vorm van identificatie. Een code kan bijvoorbeeld naar hun mobiele telefoon worden verzonden of ze kunnen worden gevraagd om een vingerafdrukscan. U wordt aangeraden MFA in te schakelen voor alle accounts met leesmachtigingen voor Azure-resources, om inbreuk en aanvallen te voorkomen. Hier vindt u meer informatie en veelgestelde vragen. (Geen gerelateerd beleid)
Ernst: Hoog
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld
Beschrijving: Als u alleen wachtwoorden gebruikt om uw gebruikers te verifiëren, laat u een aanvalsvector open. Gebruikers gebruiken vaak zwakke wachtwoorden voor meerdere services. Door meervoudige verificatie (MFA) in te schakelen, biedt u betere beveiliging voor uw accounts, terwijl uw gebruikers zich nog steeds kunnen verifiëren bij bijna elke toepassing met eenmalige aanmelding (SSO). Meervoudige verificatie is een proces waarbij gebruikers tijdens het aanmeldingsproces worden gevraagd om een extra vorm van identificatie. Een code kan bijvoorbeeld naar hun mobiele telefoon worden verzonden of ze kunnen worden gevraagd om een vingerafdrukscan. U wordt aangeraden MFA in te schakelen voor alle accounts met schrijfmachtigingen voor Azure-resources, om schendingen en aanvallen te voorkomen. Meer details en veelgestelde vragen zijn hier beschikbaar: Meervoudige verificatie (MFA) afdwingen voor uw abonnementen beheren (geen gerelateerd beleid).
Ernst: Hoog
Azure Cosmos DB-accounts moeten Azure Active Directory als enige verificatiemethode gebruiken
Beschrijving: De beste manier om te verifiëren bij Azure-services is door op rollen gebaseerd toegangsbeheer (RBAC) te gebruiken. Met RBAC kunt u het principe van minimale bevoegdheden behouden en ondersteunt u de mogelijkheid om machtigingen in te trekken als een effectieve reactiemethode wanneer er inbreuk wordt uitgevoerd. U kunt uw Azure Cosmos DB-account configureren om RBAC af te dwingen als de enige verificatiemethode. Wanneer de afdwinging is geconfigureerd, worden alle andere toegangsmethoden geweigerd (primaire/secundaire sleutels en toegangstokens). (Geen gerelateerd beleid)
Ernst: gemiddeld
Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd
Beschrijving: Accounts die zijn geblokkeerd voor aanmelding bij Active Directory, moeten worden verwijderd uit uw Azure-resources. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Geen gerelateerd beleid)
Ernst: Hoog
Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd
Beschrijving: Accounts die zijn geblokkeerd voor aanmelding bij Active Directory, moeten worden verwijderd uit uw Azure-resources. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Geen gerelateerd beleid)
Ernst: Hoog
Afgeschafte accounts moeten worden verwijderd uit abonnementen
Beschrijving: Gebruikersaccounts die zijn geblokkeerd voor aanmelding, moeten worden verwijderd uit uw abonnementen. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Gerelateerd beleid: Afgeschafte accounts moeten worden verwijderd uit uw abonnement).
Ernst: Hoog
Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit abonnementen
Beschrijving: Gebruikersaccounts die zijn geblokkeerd voor aanmelding, moeten worden verwijderd uit uw abonnementen. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Gerelateerd beleid: Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement).
Ernst: Hoog
Diagnostische logboeken in Key Vault moeten zijn ingeschakeld
Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in Key Vault moeten zijn ingeschakeld).
Ernst: Laag
Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit abonnementen
Beschrijving: Accounts met eigenaarsmachtigingen met verschillende domeinnamen (externe accounts) moeten worden verwijderd uit uw abonnement. Dit voorkomt niet-bewaakte toegang. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Gerelateerd beleid: Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement).
Ernst: Hoog
Externe accounts met leesmachtigingen moeten worden verwijderd uit abonnementen
Beschrijving: Accounts met leesmachtigingen met verschillende domeinnamen (externe accounts) moeten worden verwijderd uit uw abonnement. Dit voorkomt niet-bewaakte toegang. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Gerelateerd beleid: Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement).
Ernst: Hoog
Externe accounts met schrijfmachtigingen moeten worden verwijderd uit abonnementen
Beschrijving: Accounts met schrijfmachtigingen met verschillende domeinnamen (externe accounts) moeten worden verwijderd uit uw abonnement. Dit voorkomt niet-bewaakte toegang. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Gerelateerd beleid: Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement).
Ernst: Hoog
De firewall moet zijn ingeschakeld in Key Vault
Beschrijving: De firewall van de sleutelkluis voorkomt dat onbevoegd verkeer uw sleutelkluis bereikt en biedt een extra beveiligingslaag voor uw geheimen. Schakel de firewall in om ervoor te zorgen dat alleen verkeer van toegestane netwerken toegang heeft tot uw sleutelkluis. (Gerelateerd beleid: Firewall moet zijn ingeschakeld in Key Vault).
Ernst: gemiddeld
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd
Beschrijving: Accounts met eigenaarsmachtigingen die buiten de Azure Active Directory-tenant (verschillende domeinnamen) zijn ingericht, moeten worden verwijderd uit uw Azure-resources. Gastaccounts worden niet beheerd volgens dezelfde standaarden als enterprise-tenantidentiteiten. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Geen gerelateerd beleid)
Ernst: Hoog
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd
Beschrijving: Accounts met leesmachtigingen die buiten de Azure Active Directory-tenant (verschillende domeinnamen) zijn ingericht, moeten worden verwijderd uit uw Azure-resources. Gastaccounts worden niet beheerd volgens dezelfde standaarden als enterprise-tenantidentiteiten. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Geen gerelateerd beleid)
Ernst: Hoog
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd
Beschrijving: Accounts met schrijfmachtigingen die buiten de Azure Active Directory-tenant (verschillende domeinnamen) zijn ingericht, moeten worden verwijderd uit uw Azure-resources. Gastaccounts worden niet beheerd volgens dezelfde standaarden als enterprise-tenantidentiteiten. Deze accounts kunnen doelen zijn voor aanvallers die op zoek zijn naar manieren om onopgemerkt toegang te krijgen tot uw gegevens. (Geen gerelateerd beleid)
Ernst: Hoog
Key Vault-sleutels moeten een vervaldatum hebben
Beschrijving: Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het is een aanbevolen beveiligingspraktijk om vervaldatums in te stellen op cryptografische sleutels. (Gerelateerd beleid: Key Vault-sleutels moeten een vervaldatum hebben).
Ernst: Hoog
Key Vault-geheimen moeten een vervaldatum hebben
Beschrijving: Geheimen moeten een gedefinieerde vervaldatum hebben en niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het is een aanbevolen beveiligingspraktijk om vervaldatums in te stellen voor geheimen. (Gerelateerd beleid: Key Vault-geheimen moeten een vervaldatum hebben).
Ernst: Hoog
Beveiliging tegen leegmaken moet zijn ingeschakeld voor sleutelkluizen
Beschrijving: Schadelijk verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Een kwaadwillende insider in uw organisatie kan sleutelkluizen verwijderen en leegmaken. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. (Gerelateerd beleid: Sleutelkluizen moeten beveiliging tegen opschonen zijn ingeschakeld).
Ernst: gemiddeld
Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen
Beschrijving: Als u een sleutelkluis verwijdert zonder voorlopig verwijderen ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis definitief verwijderd. Onbedoeld verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Met voorlopig verwijderen kunt u een per ongeluk verwijderde sleutelkluis herstellen voor een configureerbare bewaarperiode. (Gerelateerd beleid: Sleutelkluizen moeten voorlopig verwijderen zijn ingeschakeld).
Ernst: Hoog
MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor abonnementen
Beschrijving: Meervoudige verificatie (MFA) moet zijn ingeschakeld voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat accounts of resources worden geschonden. (Gerelateerd beleid: MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnement).
Ernst: Hoog
MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor abonnementen
Beschrijving: Meervoudige verificatie (MFA) moet zijn ingeschakeld voor alle abonnementsaccounts met leesbevoegdheden om te voorkomen dat accounts of resources worden geschonden. (Gerelateerd beleid: MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnement).
Ernst: Hoog
MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor abonnementen
Beschrijving: Meervoudige verificatie (MFA) moet zijn ingeschakeld voor alle abonnementsaccounts met schrijfbevoegdheden om te voorkomen dat accounts of resources worden geschonden. (Gerelateerd beleid: MFA moet accounts met schrijfmachtigingen voor uw abonnement zijn ingeschakeld).
Ernst: Hoog
Microsoft Defender voor Key Vault moet zijn ingeschakeld
Beschrijving: Microsoft Defender voor Cloud bevat Microsoft Defender voor Key Vault en biedt een extra beveiligingsinformatielaag. Microsoft Defender voor Key Vault detecteert ongebruikelijke en mogelijk schadelijke pogingen om Key Vault-accounts te openen of misbruiken. Belangrijk: er worden kosten in rekening gebracht voor de beveiliging van dit abonnement, zoals wordt weergegeven op de pagina Defender-abonnementen . Als u geen sleutelkluizen in dit abonnement hebt, worden er geen kosten in rekening gebracht. Als u later sleutelkluizen voor dit abonnement maakt, worden deze automatisch beveiligd en worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio. Meer informatie vindt u in Inleiding tot Microsoft Defender voor Key Vault. (Gerelateerd beleid: Azure Defender voor Key Vault moet zijn ingeschakeld).
Ernst: Hoog
Er moet een privé-eindpunt worden geconfigureerd voor Key Vault
Beschrijving: Private Link biedt een manier om Key Vault te verbinden met uw Azure-resources zonder verkeer via het openbare internet te verzenden. Een privékoppeling biedt uitgebreide beveiliging tegen gegevensexfiltratie. (Gerelateerd beleid: Het privé-eindpunt moet worden geconfigureerd voor Key Vault).
Ernst: gemiddeld
Openbare toegang tot een opslagaccount moet niet worden toegestaan
Beschrijving: Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. (Gerelateerd beleid: Openbare toegang tot het opslagaccount moet niet zijn toegestaan).
Ernst: gemiddeld
Er moet meer dan één eigenaar zijn toegewezen aan abonnementen
Beschrijving: Wijs meer dan één abonnementseigenaar aan om beheerderstoegangredundantie te hebben. (Gerelateerd beleid: Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement).
Ernst: Hoog
De geldigheidsperiode van certificaten die zijn opgeslagen in Azure Key Vault mag niet langer zijn dan 12 maanden
Beschrijving: Zorg ervoor dat uw certificaten geen geldigheidsperiode hebben die langer is dan 12 maanden. (Gerelateerd beleid: Certificaten moeten de opgegeven maximale geldigheidsperiode hebben).
Ernst: gemiddeld
Overprovisioned identiteiten van Azure mogen alleen de benodigde machtigingen hebben (preview)
Beschrijving: Overprovisioned identities, or over permissioned identities, don't use many of their granted permissions. Regelmatig juiste machtigingen van deze identiteiten om het risico op misbruik van machtigingen te verminderen, hetzij per ongeluk of kwaadwillend. Deze actie vermindert de potentiële straal van de explosie tijdens een beveiligingsincident.
Ernst: gemiddeld
Superidentiteiten in uw Azure-omgeving moeten worden verwijderd (preview)
Beschrijving: Super Identity is een identiteit van personen of werkbelastingen, zoals gebruikers, service-principals en serverloze functies met beheerdersmachtigingen en kan elke actie uitvoeren op elke resource in de hele infrastructuur. Superidentiteiten zijn extreem hoog risico, omdat misbruik van schadelijke of onbedoelde machtigingen kan leiden tot onherstelbare serviceonderbreking, servicedegradatie of gegevenslekken. Superidentiteiten vormen een enorme bedreiging voor cloudinfrastructuur. Te veel superidentiteiten kunnen overmatige risico's creëren en de straal vergroten tijdens een inbreuk.
Ernst: gemiddeld
Ongebruikte identiteiten in uw Azure-omgeving moeten worden verwijderd (preview)
Beschrijving: Inactieve identiteiten zijn de identiteiten die de afgelopen 90 dagen geen actie hebben uitgevoerd op infrastructuurbronnen. Inactieve identiteiten vormen een aanzienlijk risico voor uw organisatie, omdat ze kunnen worden gebruikt door aanvallers om toegang te krijgen tot en taken uit te voeren in uw omgeving.
Ernst: gemiddeld
IoT-aanbevelingen
Standaard-IP-filterbeleid moet worden geweigerd
Beschrijving: IP-filterconfiguratie moet regels hebben gedefinieerd voor toegestaan verkeer en moet al het andere verkeer standaard weigeren (geen gerelateerd beleid).
Ernst: gemiddeld
Diagnostische logboeken in IoT Hub moeten zijn ingeschakeld
Beschrijving: Schakel logboeken in en bewaar ze maximaal een jaar. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebroken. (Gerelateerd beleid: Diagnostische logboeken in IoT Hub moeten zijn ingeschakeld).
Ernst: Laag
Identieke verificatiereferenties
Beschrijving: Identieke verificatiereferenties voor de IoT Hub die door meerdere apparaten wordt gebruikt. Dit kan duiden op een illegitimate apparaat dat een legitiem apparaat imiteert. Het geeft ook het risico van apparaatimitatie door een aanvaller (geen gerelateerd beleid) bloot.
Ernst: Hoog
IP-filterregel groot IP-bereik
Beschrijving: Het bron-IP-adresbereik van een IP-filterregel toestaan is te groot. Te veel regels kunnen uw IoT-hub blootstellen aan kwaadwillende voornemens (geen gerelateerd beleid).
Ernst: gemiddeld
Aanbevelingen voor netwerken
Toegang tot opslagaccounts met configuraties voor firewalls en virtuele netwerken moet worden beperkt
Beschrijving: Controleer de instellingen van netwerktoegang in de firewallinstellingen van uw opslagaccount. We raden u aan netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet. (Gerelateerd beleid: Opslagaccounts moeten netwerktoegang beperken.
Ernst: Laag
Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gericht
Beschrijving: Defender voor Cloud de communicatiepatronen voor internetverkeer van de onderstaande virtuele machines heeft geanalyseerd en heeft vastgesteld dat de bestaande regels in de aan hen gekoppelde NSG's te veel permissief zijn, wat resulteert in een verhoogde potentiële kwetsbaarheid voor aanvallen. Dit gebeurt meestal wanneer dit IP-adres niet regelmatig communiceert met deze resource. Het IP-adres is ook gemarkeerd als schadelijk door de bedreigingsinformatiebronnen van Defender voor Cloud. Meer informatie over het verbeteren van uw netwerkbeveiligingspostuur met adaptieve netwerkbeveiliging. (Gerelateerd beleid: Aanbevelingen voor adaptieve netwerkbeveiliging moeten worden toegepast op internetgerichte virtuele machines).
Ernst: Hoog
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine
Beschrijving: Defender voor Cloud bepaalde regels voor inkomend verkeer van uw netwerkbeveiligingsgroepen hebben geïdentificeerd, zodat ze te permissief zijn. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. (Gerelateerd beleid: Alle netwerkpoorten moeten worden beperkt voor netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine).
Ernst: Hoog
Azure DDoS-beveiligingsstandaard moet zijn ingeschakeld
Beschrijving: Defender voor Cloud virtuele netwerken heeft gedetecteerd met Application Gateway-resources die niet zijn beveiligd door de DDoS-beveiligingsservice. Deze resources bevatten openbare IP-adressen. Schakel beperking van volumetrische netwerkaanvallen en protocolaanvallen in. (Gerelateerd beleid: Azure DDoS Protection Standard moet zijn ingeschakeld).
Ernst: gemiddeld
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen
Beschrijving: Bescherm uw VIRTUELE machine tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (NSG). Een NSG bevat een lijst met ACL-regels (Access Control List, toegangsbeheerlijst) waarmee netwerkverkeer naar uw VM van ander exemplaren in of van buiten hetzelfde subnet wordt toegestaan of geweigerd. Als u uw computer zo veilig mogelijk wilt houden, moet de toegang tot de VIRTUELE machine tot internet worden beperkt en moet er een NSG worden ingeschakeld op het subnet. VM's met hoge ernst zijn internetgerichte VM's. (Gerelateerd beleid: Internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen).
Ernst: Hoog
Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld
Beschrijving: Defender voor Cloud heeft gedetecteerd dat doorsturen via IP is ingeschakeld op sommige van uw virtuele machines. Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. (Gerelateerd beleid: Doorsturen via IP op uw virtuele machine moet worden uitgeschakeld).
Ernst: gemiddeld
Machines moeten poorten hebben gesloten die aanvalsvectoren mogelijk blootstellen
Beschrijving: de gebruiksvoorwaarden van Azure verbieden het gebruik van Azure-services op manieren die schade kunnen aanbrengen, uitschakelen, overbelasten of verstoren van een Microsoft-server of het netwerk. Deze aanbeveling bevat een lijst met weergegeven poorten die moeten worden gesloten voor uw continue beveiliging. Het illustreert ook de mogelijke bedreiging voor elke poort. (Geen gerelateerd beleid)
Ernst: Hoog
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer
Beschrijving: Defender voor Cloud heeft een aantal te ruime regels voor inkomend verkeer voor beheerpoorten in uw netwerkbeveiligingsgroep geïdentificeerd. Schakel Just-In-Time-toegangsbeheer in om uw VM te beschermen tegen beveiligingsaanvallen van internet. Meer informatie over Just-In-Time -VM-toegang (JIT). (Gerelateerd beleid: Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer).
Ernst: Hoog
Beheerpoorten moeten gesloten zijn op uw virtuele machines
Beschrijving: Open poorten voor extern beheer stellen uw VIRTUELE machine bloot aan een hoog risiconiveau van aanvallen op internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. (Gerelateerd beleid: Beheerpoorten moeten worden gesloten op uw virtuele machines).
Ernst: gemiddeld
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen
Beschrijving: Bescherm uw niet-internetgerichte virtuele machine tegen mogelijke bedreigingen door de toegang tot de virtuele machine te beperken met een netwerkbeveiligingsgroep (NSG). Een NSG bevat een lijst met ACL-regels (Access Control List, toegangsbeheerlijst) waarmee netwerkverkeer naar uw VM van ander exemplaren wordt toegestaan of geweigerd, ongeacht of deze zich in of buiten hetzelfde subnet bevinden. Houd de computer zo goed mogelijk beveiligd. De toegang van de VM's tot internet moet worden beperkt en er moet een NSG op het subnet worden ingeschakeld. (Gerelateerd beleid: Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen).
Ernst: Laag
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld
Beschrijving: Veilige overdracht is een optie waarmee uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking. (Gerelateerd beleid: Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld).
Ernst: Hoog
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep
Beschrijving: Beveilig uw subnet tegen mogelijke bedreigingen door de toegang tot het subnet te beperken met een netwerkbeveiligingsgroep (NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. Wanneer een NSG is gekoppeld aan een subnet, zijn de ACL-regels van toepassing op alle VM-exemplaren en geïntegreerde services in dat subnet, maar zijn ze niet van toepassing op intern verkeer binnen het subnet. Als u resources in hetzelfde subnet tegen elkaar wilt beschermen, moet u ook NSG rechtstreeks op de resources inschakelen. Houd er rekening mee dat de volgende subnettypen worden vermeld als niet van toepassing: GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet. (Gerelateerd beleid: Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep).
Ernst: Laag
Virtuele netwerken moeten worden beveiligd door Azure Firewall
Beschrijving: Sommige virtuele netwerken zijn niet beveiligd met een firewall. Gebruik Azure Firewall om de toegang tot uw virtuele netwerken te beperken en potentiële bedreigingen te voorkomen. (Gerelateerd beleid: Al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall).
Ernst: Laag
API-aanbevelingen
Microsoft Defender voor API's moet zijn ingeschakeld
Beschrijving en gerelateerd beleid: Schakel het Defender for API-plan in om API-resources te detecteren en te beveiligen tegen aanvallen en onjuiste beveiligingsconfiguraties. Meer informatie
Ernst: Hoog
Azure API Management-API's moeten worden toegevoegd aan Defender for API's
Beschrijving en gerelateerd beleid: Onboarding API's voor Defender for API's vereist reken- en geheugengebruik in de Azure API Management-service. Bewaak de prestaties van uw Azure API Management-service tijdens het onboarden van API's en schaal uw Azure API Management-resources zo nodig uit.
Ernst: Hoog
API-eindpunten die niet worden gebruikt, moeten worden uitgeschakeld en verwijderd uit de Azure API Management-service
Beschrijving en gerelateerd beleid: Als best practice voor beveiliging worden API-eindpunten die gedurende 30 dagen geen verkeer hebben ontvangen beschouwd als ongebruikt en moeten ze worden verwijderd uit de Azure API Management-service. Het behouden van ongebruikte API-eindpunten kan een beveiligingsrisico vormen. Dit kunnen API's zijn die moeten zijn afgeschaft vanuit de Azure API Management-service, maar die per ongeluk actief zijn gebleven. Dergelijke API's ontvangen doorgaans niet de meest recente beveiligingsdekking.
Ernst: Laag
API-eindpunten in Azure API Management moeten worden geverifieerd
Beschrijving en gerelateerd beleid: API-eindpunten die zijn gepubliceerd in Azure API Management moeten verificatie afdwingen om beveiligingsrisico's te minimaliseren. Verificatiemechanismen worden soms onjuist geïmplementeerd of ontbreken. Hierdoor kunnen aanvallers misbruik maken van implementatiefouten en toegang krijgen tot gegevens. Voor API's die zijn gepubliceerd in Azure API Management, beoordeelt deze aanbeveling verificatie door de aanwezigheid van Azure API Management-abonnementssleutels te controleren voor API's of producten waarvoor een abonnement is vereist, en de uitvoering van beleid voor het valideren van JWT-, clientcertificaten en Microsoft Entra-tokens . Als geen van deze verificatiemechanismen wordt uitgevoerd tijdens de API-aanroep, ontvangt de API deze aanbeveling.
Ernst: Hoog
Aanbevelingen voor API Management
API Management-abonnementen mogen niet worden beperkt tot alle API's
Beschrijving en gerelateerd beleid: API Management-abonnementen moeten worden afgestemd op een product of een afzonderlijke API in plaats van alle API's, wat kan leiden tot overmatige blootstelling aan gegevens.
Ernst: gemiddeld
API Management-aanroepen naar API-back-ends mogen geen vingerafdruk van certificaat of naamvalidatie overslaan
Beschrijving en gerelateerd beleid: API Management moet het back-endservercertificaat valideren voor alle API-aanroepen. Schakel vingerafdruk van SSL-certificaat en naamvalidatie in om de API-beveiliging te verbeteren.
Ernst: gemiddeld
Het eindpunt voor direct beheer van API Management mag niet zijn ingeschakeld
Beschrijving en gerelateerd beleid: De REST API voor direct beheer in Azure API Management omzeilt op rollen gebaseerd toegangsbeheer, autorisatie en beperkingsmechanismen van Azure Resource Manager, waardoor het beveiligingsprobleem van uw service toeneemt.
Ernst: Laag
API Management-API's mogen alleen versleutelde protocollen gebruiken
Beschrijving en gerelateerd beleid: API's moeten alleen beschikbaar zijn via versleutelde protocollen, zoals HTTPS of WSS. Vermijd het gebruik van niet-beveiligde protocollen, zoals HTTP of WS, om de beveiliging van gegevens in transit te waarborgen.
Ernst: Hoog
Api Management-geheim benoemde waarden moeten worden opgeslagen in Azure Key Vault
Beschrijving en gerelateerd beleid: Benoemde waarden zijn een verzameling naam- en waardeparen in elke API Management-service. Geheime waarden kunnen worden opgeslagen als versleutelde tekst in API Management (aangepaste geheimen) of door te verwijzen naar geheimen in Azure Key Vault. Verwijs naar geheim met benoemde waarden van Azure Key Vault om de beveiliging van API Management en geheimen te verbeteren. Azure Key Vault biedt ondersteuning voor gedetailleerd toegangsbeheer en beleidsregels voor geheimrotatie.
Ernst: gemiddeld
API Management moet openbare netwerktoegang tot de serviceconfiguratie-eindpunten uitschakelen
Beschrijving en gerelateerd beleid: om de beveiliging van API Management-services te verbeteren, beperkt u de connectiviteit met serviceconfiguratie-eindpunten, zoals API voor direct toegangsbeheer, Eindpunt voor Git-configuratiebeheer of zelf-hostende gateways- en configuratie-eindpunten.
Ernst: gemiddeld
De minimale API-versie van API Management moet zijn ingesteld op 2019-12-01 of hoger
Beschrijving en gerelateerd beleid: Om te voorkomen dat servicegeheimen worden gedeeld met alleen-lezen gebruikers, moet de minimale API-versie worden ingesteld op 2019-12-01 of hoger.
Ernst: gemiddeld
API Management-aanroepen naar API-back-ends moeten worden geverifieerd
Beschrijving en gerelateerd beleid: aanroepen van API Management naar back-ends moeten een vorm van verificatie gebruiken, ongeacht of het gaat om certificaten of referenties. Is niet van toepassing op Service Fabric-back-ends.
Ernst: gemiddeld
AI-aanbevelingen
Resourcelogboeken in Azure Machine Learning-werkruimten moeten zijn ingeschakeld (preview)
Beschrijving en gerelateerd beleid: Resourcelogboeken maken het mogelijk om activiteitentrails opnieuw te maken voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt of wanneer uw netwerk wordt aangetast.
Ernst: gemiddeld
Azure Machine Learning-werkruimten moeten openbare netwerktoegang uitschakelen (preview)
Beschrijving en gerelateerd beleid: het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de Machine Learning-werkruimten niet worden weergegeven op het openbare internet. U kunt de blootstelling van uw werkruimten beheren door in plaats daarvan privé-eindpunten te maken. Zie Een privé-eindpunt configureren voor een Azure Machine Learning-werkruimte voor meer informatie.
Ernst: gemiddeld
Azure Machine Learning Computes moet zich in een virtueel netwerk bevinden (preview)
Beschrijving en gerelateerd beleid: Azure Virtual Networks bieden verbeterde beveiliging en isolatie voor uw Azure Machine Learning Compute-clusters en -exemplaren, evenals subnetten, toegangsbeheerbeleid en andere functies om de toegang verder te beperken. Wanneer een berekening is geconfigureerd met een virtueel netwerk, is het niet openbaar adresseerbaar en kan deze alleen worden geopend vanuit virtuele machines en toepassingen binnen het virtuele netwerk.
Ernst: gemiddeld
Azure Machine Learning Computes moet lokale verificatiemethoden hebben uitgeschakeld (preview)
Beschrijving en gerelateerd beleid: Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Machine Learning Computes uitsluitend Azure Active Directory-identiteiten vereist voor verificatie. Zie De besturingselementen voor naleving van Azure Policy-regelgeving voor Azure Machine Learning voor meer informatie.
Ernst: gemiddeld
Azure Machine Learning-rekeninstanties moeten opnieuw worden gemaakt om de nieuwste software-updates op te halen (preview)
Beschrijving en gerelateerd beleid: Zorg ervoor dat Azure Machine Learning-rekeninstanties worden uitgevoerd op het meest recente beschikbare besturingssysteem. Beveiliging wordt verbeterd en beveiligingsproblemen worden verminderd door te worden uitgevoerd met de nieuwste beveiligingspatches. Zie Beveiligingsproblemen beheren voor Azure Machine Learning voor meer informatie.
Ernst: gemiddeld
Resourcelogboeken in Azure Databricks-werkruimten moeten zijn ingeschakeld (preview)
Beschrijving en gerelateerd beleid: Resourcelogboeken maken het mogelijk om activiteitentrails opnieuw te maken voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt of wanneer uw netwerk wordt aangetast.
Ernst: gemiddeld
Azure Databricks-werkruimten moeten openbare netwerktoegang uitschakelen (preview)
Beschrijving en gerelateerd beleid: het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de resource niet beschikbaar is op het openbare internet. U kunt de blootstelling van uw resources beheren door in plaats daarvan privé-eindpunten te maken. Zie Azure Private Link inschakelen voor meer informatie.
Ernst: gemiddeld
Azure Databricks-clusters moeten het openbare IP-adres uitschakelen (preview)
Beschrijving en gerelateerd beleid: het uitschakelen van openbaar IP-adres van clusters in Azure Databricks Workspaces verbetert de beveiliging door ervoor te zorgen dat de clusters niet beschikbaar zijn op het openbare internet. Zie Beveiligde clusterconnectiviteit voor meer informatie.
Ernst: gemiddeld
Azure Databricks-werkruimten moeten zich in een virtueel netwerk bevinden (preview)
Beschrijving en gerelateerd beleid: Azure Virtual Networks bieden verbeterde beveiliging en isolatie voor uw Azure Databricks-werkruimten, evenals subnetten, toegangsbeheerbeleid en andere functies om de toegang verder te beperken. Zie Azure Databricks implementeren in uw virtuele Azure-netwerk voor meer informatie.
Ernst: gemiddeld
Azure Databricks-werkruimten moeten gebruikmaken van private link (preview)
Beschrijving en gerelateerd beleid: Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Als u privé-eindpunten toewijst aan Azure Databricks-werkruimten, kunt u risico's voor gegevenslekken verminderen. Zie De werkruimte en privé-eindpunten maken in de gebruikersinterface van Azure Portal voor meer informatie.
Ernst: gemiddeld
Azure AI Services-resources moeten netwerktoegang beperken
Beschrijving: Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-serviceresource.
Ernst: gemiddeld
Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen)
Beschrijving: Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie.
Ernst: gemiddeld
Afgeschafte aanbevelingen
Over-ingerichte identiteiten in abonnementen moeten worden onderzocht om de Pci (Permission Creep Index) te verminderen
Beschrijving: Over-ingerichte identiteiten in het abonnement moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen en uw infrastructuur te beveiligen. Verminder de PCI door de ongebruikte toewijzingen van machtigingen met een hoog risico te verwijderen. Hoog PCI weerspiegelt het risico dat is gekoppeld aan de identiteiten met machtigingen die het normale of vereiste gebruik overschrijden (geen gerelateerd beleid).
Ernst: gemiddeld
Over-ingerichte identiteiten in accounts moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen
Beschrijving: Door te ingerichte identiteiten in accounts moeten worden onderzocht om de Permission Creep Index (PCI) te verminderen en uw infrastructuur te beveiligen. Verminder de PCI door de ongebruikte toewijzingen van machtigingen met een hoog risico te verwijderen. Hoog PCI weerspiegelt het risico dat is gekoppeld aan de identiteiten met machtigingen die het normale of vereiste gebruik overschrijden.
Ernst: gemiddeld
Toegang tot App Services moet worden beperkt
Beschrijving en gerelateerd beleid: Beperk de toegang tot uw App Services door de netwerkconfiguratie te wijzigen om binnenkomend verkeer te weigeren van bereiken die te breed zijn. (Gerelateerd beleid: [preview]: toegang tot App Services moet worden beperkt).
Ernst: Hoog
De regels voor webtoepassingen op IaaS NSG's moeten strenger worden
Beschrijving en gerelateerd beleid: Beveilig de netwerkbeveiligingsgroep (NSG) van uw virtuele machines waarop webtoepassingen worden uitgevoerd, met NSG-regels die te veel machtigingen hebben met betrekking tot webtoepassingspoorten. (Gerelateerd beleid: de NSG-regels voor webtoepassingen op IaaS moeten worden beperkt).
Ernst: Hoog
Beveiligingsbeleid voor pods definiëren om de aanvalsvector te verminderen door onnodige bevoegdheden voor toepassingen te verwijderen (preview)
Beschrijving en gerelateerd beleid: Definieer Pod-beveiligingsbeleid om de aanvalsvector te verminderen door onnodige toepassingsbevoegdheden te verwijderen. Het wordt aanbevolen beleidsregels voor pod-beveiliging te configureren zodat pods alleen toegang hebben tot resources waartoe hen toegang is toegestaan. (Gerelateerd beleid: [preview]: Beveiligingsbeleid voor pods moet worden gedefinieerd in Kubernetes Services).
Ernst: gemiddeld
Azure Security Center installeren voor de IoT-beveiligingsmodule om meer inzicht te krijgen in uw IoT-apparaten
Beschrijving en gerelateerd beleid: Installeer Azure Security Center for IoT-beveiligingsmodule om meer inzicht te krijgen in uw IoT-apparaten.
Ernst: Laag
Uw machines moeten opnieuw worden opgestart om systeemupdates toe te passen
Beschrijving en gerelateerd beleid: start uw computers opnieuw op om de systeemupdates toe te passen en de machine te beveiligen tegen beveiligingsproblemen. (Gerelateerd beleid: Systeemupdates moeten op uw computers worden geïnstalleerd).
Ernst: gemiddeld
De bewakingsagent moet op uw computers worden geïnstalleerd
Beschrijving en gerelateerd beleid: Met deze actie wordt een bewakingsagent op de geselecteerde virtuele machines geïnstalleerd. Selecteer een werkruimte waarnaar de agent kan rapporteren. (Geen gerelateerd beleid)
Ernst: Hoog
Java moet worden bijgewerkt naar de nieuwste versie voor web-apps
Beschrijving en gerelateerd beleid: Periodiek worden nieuwere versies uitgebracht voor Java-software vanwege beveiligingsfouten of om extra functionaliteit op te nemen. Het gebruik van de nieuwste Java-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. (Gerelateerd beleid: Zorg ervoor dat de Java-versie de meest recente is als deze wordt gebruikt als onderdeel van de web-app).
Ernst: gemiddeld
Python moet worden bijgewerkt naar de nieuwste versie voor functie-apps
Beschrijving en gerelateerd beleid: Periodiek worden nieuwere versies uitgebracht voor Python-software vanwege beveiligingsfouten of om extra functionaliteit op te nemen. Het gebruik van de nieuwste Python-versie voor functie-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. (Gerelateerd beleid: Zorg ervoor dat de Python-versie de meest recente is als deze wordt gebruikt als onderdeel van de functie-app).
Ernst: gemiddeld
Python moet worden bijgewerkt naar de nieuwste versie voor web-apps
Beschrijving en gerelateerd beleid: Periodiek worden nieuwere versies uitgebracht voor Python-software vanwege beveiligingsfouten of om extra functionaliteit op te nemen. Het gebruik van de nieuwste Python-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. (Gerelateerd beleid: Zorg ervoor dat de Python-versie de meest recente is als deze wordt gebruikt als onderdeel van de web-app).
Ernst: gemiddeld
Java moet worden bijgewerkt naar de nieuwste versie voor functie-apps
Beschrijving en gerelateerd beleid: Periodiek worden nieuwere versies uitgebracht voor Java-software vanwege beveiligingsfouten of om extra functionaliteit op te nemen. Het gebruik van de nieuwste Java-versie voor functie-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. (Gerelateerd beleid: Zorg ervoor dat de Java-versie de meest recente is als deze wordt gebruikt als onderdeel van de functie-app).
Ernst: gemiddeld
PHP moet worden bijgewerkt naar de nieuwste versie voor web-apps
Beschrijving en gerelateerd beleid: Periodiek worden nieuwere versies uitgebracht voor PHP-software vanwege beveiligingsfouten of om extra functionaliteit op te nemen. Het gebruik van de nieuwste PHP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. (Gerelateerd beleid: zorg ervoor dat de PHP-versie de meest recente is als deze wordt gebruikt als onderdeel van de WEB-app).
Ernst: gemiddeld
Statusproblemen met Endpoint Protection op computers moeten worden opgelost
Beschrijving: Los statusproblemen met endpoint protection op uw virtuele machines op om ze te beschermen tegen de meest recente bedreigingen en beveiligingsproblemen. Zie de documentatie voor de eindpuntbeveiligingsoplossingen die worden ondersteund door Defender voor Cloud en de eindpuntbeveiligingsevaluaties. (Geen gerelateerd beleid)
Ernst: gemiddeld
Endpoint Protection moet worden geïnstalleerd op computers
Beschrijving: Als u machines wilt beschermen tegen bedreigingen en beveiligingsproblemen, installeert u een ondersteunde oplossing voor eindpuntbeveiliging. Meer informatie over hoe Endpoint Protection voor machines wordt geëvalueerd in De evaluatie en aanbevelingen van Endpoint Protection in Microsoft Defender voor Cloud. (Geen gerelateerd beleid)
Ernst: Hoog
Openbare netwerktoegang moet zijn uitgeschakeld voor Cognitive Services-accounts
Beschrijving: Met dit beleid worden alle Cognitive Services-accounts in uw omgeving gecontroleerd waarvoor openbare netwerktoegang is ingeschakeld. De toegang tot openbare netwerken moet zijn uitgeschakeld zodat alleen verbindingen van privé-eindpunten zijn toegestaan. (Gerelateerd beleid: Openbare netwerktoegang moet worden uitgeschakeld voor Cognitive Services-accounts).
Ernst: gemiddeld