Details van het ingebouwde initiatief voor naleving van regelgeving in CMMC Level 3Details of the CMMC Level 3 Regulatory Compliance built-in initiative

In het volgende artikel wordt beschreven hoe Azure Policy definitie van het ingebouwde initiatief voor naleving van regelgeving wordt toe te schrijven aan nalevingsdomeinen en besturingselementen in CMMC-niveau 3.The following article details how the Azure Policy Regulatory Compliance built-in initiative definition maps to compliance domains and controls in CMMC Level 3. Zie CMMC Level 3 voor meer informatie over deze nalevingsstandaard.For more information about this compliance standard, see CMMC Level 3. Zie Azure Policy-beleidsdefinitie en Gedeelde verantwoordelijkheid in de Cloud om Eigendom te begrijpen.To understand Ownership, see Azure Policy policy definition and Shared responsibility in the cloud.

De volgende toewijzingen zijn voor de cmmc niveau 3-besturingselementen.The following mappings are to the CMMC Level 3 controls. Gebruik de navigatie aan de rechterkant om rechtstreeks naar een toewijzing van een specifiek nalevingsdomein te gaan.Use the navigation on the right to jump directly to a specific compliance domain. Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie.Many of the controls are implemented with an Azure Policy initiative definition. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities.To review the complete initiative definition, open Policy in the Azure portal and select the Definitions page. Zoek en selecteer vervolgens de definitie van het ingebouwde initiatief voor naleving van regelgeving voor CMMC Level 3.Then, find and select the CMMC Level 3 Regulatory Compliance built-in initiative definition.

Dit ingebouwde initiatief wordt geïmplementeerd als onderdeel van het CMMC Level 3-blauwdrukvoorbeeld.This built-in initiative is deployed as part of the CMMC Level 3 blueprint sample.

Belangrijk

Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities.Each control below is associated with one or more Azure Policy definitions. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels.These policies may help you assess compliance with the control; however, there often is not a one-to-one or complete match between a control and one or more policies. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie.As such, Compliant in Azure Policy refers only to the policy definitions themselves; this doesn't ensure you're fully compliant with all requirements of a control. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities.In addition, the compliance standard includes controls that aren't addressed by any Azure Policy definitions at this time. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus.Therefore, compliance in Azure Policy is only a partial view of your overall compliance status. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen.The associations between compliance domains, controls, and Azure Policy definitions for this compliance standard may change over time. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.To view the change history, see the GitHub Commit History.

ToegangsbeheerAccess Control

Beperk de toegang tot het informatiesysteem tot geautoriseerde gebruikers, processen die optreden namens gemachtigde gebruikers en apparaten (inclusief andere informatiesystemen).Limit information system access to authorized users, processes acting on behalf of authorized users, and devices (including other information systems).

Id: CmMC L3 AC.1.001 Eigendom: GedeeldID: CMMC L3 AC.1.001 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaanAudit Linux machines that allow remote connections from accounts without passwords Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaanMachines are non-compliant if Linux machines that allow remote connections from accounts without passwords AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Azure Key Vault moet openbare netwerktoegang uitschakelenAzure Key Vault should disable public network access Schakel openbare netwerktoegang voor uw sleutelkluis uit zodat deze niet toegankelijk is via het openbare internet.Disable public network access for your key vault so that it's not accessible over the public internet. Dit kan het risico op gegevenslekken verminderen.This can reduce data leakage risks. Zie voor meer informatie: https://aka.ms/akvprivatelink.Learn more at: https://aka.ms/akvprivatelink. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.0-preview1.1.0-preview
Cognitive Services-accounts moeten openbare netwerktoegang uitschakelenCognitive Services accounts should disable public network access Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen Cognitive Services account niet wordt blootgesteld op het openbare internet.Disabling public network access improves security by ensuring that Cognitive Services account isn't exposed on the public internet. Het maken van privé-eindpunten kan de blootstelling van Cognitive Services beperken.Creating private endpoints can limit exposure of Cognitive Services account. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2129800.Learn more at: https://go.microsoft.com/fwlink/?linkid=2129800. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.11.0.1
Voor Cognitive Services-accounts moet de netwerktoegang zijn beperktCognitive Services accounts should restrict network access Netwerktoegang tot Cognitive Services-accounts moet zijn beperkt.Network access to Cognitive Services accounts should be restricted. Configureer netwerkregels zodat alleen toepassingen van toegestane netwerken toegang hebben tot het Cognitive Services-account.Configure network rules so only applications from allowed networks can access the Cognitive Services account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet.To allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Containerregisters mogen geen onbeperkte netwerktoegang toestaanContainer registries should not allow unrestricted network access Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk.Azure container registries by default accept connections over the internet from hosts on any network. Als u uw registers tegen mogelijke dreigingen wilt beveiligen, moet u alleen toegang vanaf specifieke openbare IP-adressen of adresbereiken toestaan.To protect your registries from potential threats, allow access from only specific public IP addresses or address ranges. Als uw register geen IP/firewallregel of een geconfigureerd virtueel netwerk heeft, wordt het in de beschadigde resources weergegeven.If your registry doesn't have an IP/firewall rule or a configured virtual network, it will appear in the unhealthy resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/portal/public-network en hier https://aka.ms/acr/vnet.Learn more about Container Registry network rules here: https://aka.ms/acr/portal/public-network and here https://aka.ms/acr/vnet. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
CORS mag er niet toe leiden dat elk domein toegang tot uw API voor FHIR heeftCORS should not allow every domain to access your API for FHIR Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw API voor FHIR.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your API for FHIR. Als u uw API voor FHIR wilt beveiligen, verwijdert u de toegang voor alle domeinen en definieert u de domeinen die zijn toegestaan om verbinding te maken.To protect your API for FHIR, remove access for all domains and explicitly define the domains allowed to connect. controle, uitgeschakeldaudit, disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang tot uw API-app heeftCORS should not allow every resource to access your API App Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw API-app.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your API app. Sta alleen de vereiste domeinen toe om met uw API-app te communiceren.Allow only required domains to interact with your API app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw Function-appsCORS should not allow every resource to access your Function Apps Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your Function app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren.Allow only required domains to interact with your Function app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw webtoepassingenCORS should not allow every resource to access your Web Applications Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw webtoepassing.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your web application. Sta alleen de vereiste domeinen toe om met uw web-app te communiceren.Allow only required domains to interact with your web app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Afgeschafte accounts moeten worden verwijderd uit uw abonnementDeprecated accounts should be removed from your subscription Afgeschafte accounts moeten worden verwijderd uit uw abonnement.Deprecated accounts should be removed from your subscriptions. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.Deprecated accounts are accounts that have been blocked from signing in. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnementDeprecated accounts with owner permissions should be removed from your subscription Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement.Deprecated accounts with owner permissions should be removed from your subscription. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.Deprecated accounts are accounts that have been blocked from signing in. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with owner permissions should be removed from your subscription Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with owner permissions should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with read permissions should be removed from your subscription Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with read privileges should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with write permissions should be removed from your subscription Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with write privileges should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken)Kubernetes cluster pods should only use approved host network and port range Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster.Restrict pod access to the host network and the allowable host port range in a Kubernetes cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4, dat is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren.This recommendation is part of CIS 5.2.4 which is intended to improve the security of your Kubernetes environments. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS), en als preview voor AKS Engine en Kubernetes met Azure Arc.This policy is generally available for Kubernetes Service (AKS), and preview for AKS Engine and Azure Arc enabled Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie.For more information, see https://aka.ms/kubepolicydoc. controleren, weigeren, uitgeschakeldaudit, deny, disabled 3.0.03.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheerManagement ports of virtual machines should be protected with just-in-time network access control Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security CenterPossible network Just In Time (JIT) access will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeldPublic network access on Azure SQL Database should be disabled Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure SQL Database can only be accessed from a private endpoint. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk.This configuration denies all logins that match IP or virtual network based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-serversPublic network access should be disabled for MariaDB servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MariaDB alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for MariaDB can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd.This configuration strictly disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele MySQL-serversPublic network access should be disabled for MySQL flexible servers Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for MySQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure Database for MySQL flexible servers can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration strictly disables access from any public address space outside of Azure IP range and denies all logins that match IP or virtual network-based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-serversPublic network access should be disabled for MySQL servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for MySQL can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd.This configuration strictly disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele PostgreSQL-serversPublic network access should be disabled for PostgreSQL flexible servers Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for PostgreSQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure Database for PostgreSQL flexible servers can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration strictly disables access from any public address space outside of Azure IP range and denies all logins that match IP or virtual network-based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-serversPublic network access should be disabled for PostgreSQL servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for PostgreSQL can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
RDP-toegang via internet moet worden geblokkeerdRDP access from the Internet should be blocked Met dit beleid wordt elke netwerkbeveiligingsregel gecontroleerd die RDP-toegang via internet toestaatThis policy audits any network security rule that allows RDP access from Internet Controle, uitgeschakeldAudit, Disabled 2.0.02.0.0
Externe foutopsporing moet worden uitgeschakeld voor API-appsRemote debugging should be turned off for API Apps Voor externe foutopsporing moeten binnenkomende poorten worden geopend op API-apps.Remote debugging requires inbound ports to be opened on API apps. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Externe foutopsporing moet worden uitgeschakeld voor Function-appsRemote debugging should be turned off for Function Apps Voor externe foutopsporing moeten binnenkomende poorten worden geopend op Function-apps.Remote debugging requires inbound ports to be opened on function apps. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Externe foutopsporing moet worden uitgeschakeld voor webtoepassingenRemote debugging should be turned off for Web Applications Voor externe foutopsporing moeten binnenkomende poorten worden geopend op een webtoepassing.Remote debugging requires inbound ports to be opened on a web application. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes ServicesRole-Based Access Control (RBAC) should be used on Kubernetes Services Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om de machtigingen in Kubernetes Service-clusters te beheren en het relevante autorisatiebeleid te configureren om gedetailleerde filters te bieden voor de acties die gebruikers kunnen uitvoeren.To provide granular filtering on the actions that users can perform, use Role-Based Access Control (RBAC) to manage permissions in Kubernetes Service Clusters and configure relevant authorization policies. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
SSH-toegang via internet moet worden geblokkeerdSSH access from the Internet should be blocked Met dit beleid wordt elke netwerkbeveiligingsregel gecontroleerd die SSH-toegang via internet toestaatThis policy audits any network security rule that allows SSH access from Internet Controle, uitgeschakeldAudit, Disabled 2.0.02.0.0
Openbare toegang tot een opslagaccount moet niet worden toegestaanStorage account public access should be disallowed Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren.Anonymous public read access to containers and blobs in Azure Storage is a convenient way to share data but might present security risks. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario.To prevent data breaches caused by undesired anonymous access, Microsoft recommends preventing public access to a storage account unless your scenario requires it. controleren, weigeren, uitgeschakeldaudit, deny, disabled 2.0.1-preview2.0.1-preview
Opslagaccounts moeten toegang uit vertrouwde Microsoft-services toestaanStorage accounts should allow access from trusted Microsoft services Sommige Microsoft-services die communiceren met opslagaccounts, werken vanuit netwerken waaraan geen toegang kan worden verleend via netwerkregels.Some Microsoft services that interact with storage accounts operate from networks that can't be granted access through network rules. Om dit type service goed te laten werken, moet u de set vertrouwde Microsoft-services toestaan om de netwerkregels over te slaan.To help this type of service work as intended, allow the set of trusted Microsoft services to bypass the network rules. Deze services gebruiken vervolgens sterke verificatie om toegang te krijgen tot het opslagaccount.These services will then use strong authentication to access the storage account. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend tot verkeer van specifieke virtuele Azure-netwerken of tot ip-adresbereiken voor openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerktoegang'Windows machines should meet requirements for 'Security Options - Network Access' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerktoegang voor onder meer toegang voor anonieme gebruikers, lokale accounts en externe toegang tot het register.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Access' for including access for anonymous users, local accounts, and remote access to the registry. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Beperk de toegang tot informatiesysteem tot de typen transacties en functies die gemachtigde gebruikers mogen uitvoeren.Limit information system access to the types of transactions and functions that authorized users are permitted to execute.

Id: CmMC L3 AC.1.002 Eigendom: GedeeldID: CMMC L3 AC.1.002 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
API-app mag alleen toegankelijk zijn via HTTPSAPI App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaanAudit Linux machines that allow remote connections from accounts without passwords Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaanMachines are non-compliant if Linux machines that allow remote connections from accounts without passwords AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Azure Key Vault moet openbare netwerktoegang uitschakelenAzure Key Vault should disable public network access Schakel openbare netwerktoegang voor uw sleutelkluis uit zodat deze niet toegankelijk is via het openbare internet.Disable public network access for your key vault so that it's not accessible over the public internet. Dit kan het risico op gegevenslekken verminderen.This can reduce data leakage risks. Zie voor meer informatie: https://aka.ms/akvprivatelink.Learn more at: https://aka.ms/akvprivatelink. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.0-preview1.1.0-preview
Cognitive Services accounts moeten openbare netwerktoegang uitschakelenCognitive Services accounts should disable public network access Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen Cognitive Services account niet wordt blootgesteld op het openbare internet.Disabling public network access improves security by ensuring that Cognitive Services account isn't exposed on the public internet. Het maken van privé-eindpunten kan de blootstelling van een Cognitive Services beperken.Creating private endpoints can limit exposure of Cognitive Services account. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2129800.Learn more at: https://go.microsoft.com/fwlink/?linkid=2129800. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.11.0.1
Voor Cognitive Services-accounts moet de netwerktoegang zijn beperktCognitive Services accounts should restrict network access Netwerktoegang tot Cognitive Services-accounts moet zijn beperkt.Network access to Cognitive Services accounts should be restricted. Configureer netwerkregels zodat alleen toepassingen van toegestane netwerken toegang hebben tot het Cognitive Services-account.Configure network rules so only applications from allowed networks can access the Cognitive Services account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet.To allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Containerregisters mogen geen onbeperkte netwerktoegang toestaanContainer registries should not allow unrestricted network access Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk.Azure container registries by default accept connections over the internet from hosts on any network. Als u uw registers tegen mogelijke dreigingen wilt beveiligen, moet u alleen toegang vanaf specifieke openbare IP-adressen of adresbereiken toestaan.To protect your registries from potential threats, allow access from only specific public IP addresses or address ranges. Als uw register geen IP/firewallregel of een geconfigureerd virtueel netwerk heeft, wordt het in de beschadigde resources weergegeven.If your registry doesn't have an IP/firewall rule or a configured virtual network, it will appear in the unhealthy resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/portal/public-network en hier https://aka.ms/acr/vnet.Learn more about Container Registry network rules here: https://aka.ms/acr/portal/public-network and here https://aka.ms/acr/vnet. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
CORS mag er niet toe leiden dat elk domein toegang tot uw API voor FHIR heeftCORS should not allow every domain to access your API for FHIR Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw API voor FHIR.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your API for FHIR. Als u uw API voor FHIR wilt beveiligen, verwijdert u de toegang voor alle domeinen en definieert u de domeinen die zijn toegestaan om verbinding te maken.To protect your API for FHIR, remove access for all domains and explicitly define the domains allowed to connect. controle, uitgeschakeldaudit, disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang tot uw API-app heeftCORS should not allow every resource to access your API App Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw API-app.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your API app. Sta alleen de vereiste domeinen toe om met uw API-app te communiceren.Allow only required domains to interact with your API app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw Function-appsCORS should not allow every resource to access your Function Apps Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your Function app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren.Allow only required domains to interact with your Function app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw webtoepassingenCORS should not allow every resource to access your Web Applications Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw webtoepassing.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your web application. Sta alleen de vereiste domeinen toe om met uw web-app te communiceren.Allow only required domains to interact with your web app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseserversEnforce SSL connection should be enabled for MySQL database servers Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen.Azure Database for MySQL supports connecting your Azure Database for MySQL server to client applications using Secure Sockets Layer (SSL). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld.Enforcing SSL connections between your database server and your client applications helps protect against 'man in the middle' attacks by encrypting the data stream between the server and your application. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.This configuration enforces that SSL is always enabled for accessing your database server. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseserversEnforce SSL connection should be enabled for PostgreSQL database servers Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen.Azure Database for PostgreSQL supports connecting your Azure Database for PostgreSQL server to client applications using Secure Sockets Layer (SSL). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld.Enforcing SSL connections between your database server and your client applications helps protect against 'man in the middle' attacks by encrypting the data stream between the server and your application. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.This configuration enforces that SSL is always enabled for accessing your database server. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Function-app mag alleen toegankelijk zijn via HTTPSFunction App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken)Kubernetes cluster pods should only use approved host network and port range Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster.Restrict pod access to the host network and the allowable host port range in a Kubernetes cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4, dat is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren.This recommendation is part of CIS 5.2.4 which is intended to improve the security of your Kubernetes environments. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS), en als preview voor AKS Engine en Kubernetes met Azure Arc.This policy is generally available for Kubernetes Service (AKS), and preview for AKS Engine and Azure Arc enabled Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie.For more information, see https://aka.ms/kubepolicydoc. controleren, weigeren, uitgeschakeldaudit, deny, disabled 3.0.03.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheerManagement ports of virtual machines should be protected with just-in-time network access control Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security CenterPossible network Just In Time (JIT) access will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeldOnly secure connections to your Azure Cache for Redis should be enabled Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren.Audit enabling of only connections via SSL to Azure Cache for Redis. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of secure connections ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeldPublic network access on Azure SQL Database should be disabled Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure SQL Database can only be accessed from a private endpoint. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk.This configuration denies all logins that match IP or virtual network based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-serversPublic network access should be disabled for MariaDB servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MariaDB alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for MariaDB can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd.This configuration strictly disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele MySQL-serversPublic network access should be disabled for MySQL flexible servers Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for MySQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure Database for MySQL flexible servers can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration strictly disables access from any public address space outside of Azure IP range and denies all logins that match IP or virtual network-based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-serversPublic network access should be disabled for MySQL servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for MySQL can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd.This configuration strictly disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele PostgreSQL-serversPublic network access should be disabled for PostgreSQL flexible servers Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for PostgreSQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure Database for PostgreSQL flexible servers can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration strictly disables access from any public address space outside of Azure IP range and denies all logins that match IP or virtual network-based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-serversPublic network access should be disabled for PostgreSQL servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for PostgreSQL can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
RDP-toegang via internet moet worden geblokkeerdRDP access from the Internet should be blocked Met dit beleid wordt elke netwerkbeveiligingsregel gecontroleerd die RDP-toegang via internet toestaatThis policy audits any network security rule that allows RDP access from Internet Controle, uitgeschakeldAudit, Disabled 2.0.02.0.0
Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes ServicesRole-Based Access Control (RBAC) should be used on Kubernetes Services Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om de machtigingen in Kubernetes Service-clusters te beheren en het relevante autorisatiebeleid te configureren om gedetailleerde filters te bieden voor de acties die gebruikers kunnen uitvoeren.To provide granular filtering on the actions that users can perform, use Role-Based Access Control (RBAC) to manage permissions in Kubernetes Service Clusters and configure relevant authorization policies. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeldSecure transfer to storage accounts should be enabled Controleer de vereiste van beveiligde overdracht in uw opslagaccount.Audit requirement of Secure transfer in your storage account. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert.Secure transfer is an option that forces your storage account to accept requests only from secure connections (HTTPS). Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of HTTPS ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 2.0.02.0.0
SSH-toegang via internet moet worden geblokkeerdSSH access from the Internet should be blocked Met dit beleid wordt elke netwerkbeveiligingsregel gecontroleerd die SSH-toegang via internet toestaatThis policy audits any network security rule that allows SSH access from Internet Controle, uitgeschakeldAudit, Disabled 2.0.02.0.0
Openbare toegang tot een opslagaccount moet niet worden toegestaanStorage account public access should be disallowed Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren.Anonymous public read access to containers and blobs in Azure Storage is a convenient way to share data but might present security risks. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario.To prevent data breaches caused by undesired anonymous access, Microsoft recommends preventing public access to a storage account unless your scenario requires it. controleren, weigeren, uitgeschakeldaudit, deny, disabled 2.0.1-preview2.0.1-preview
Opslagaccounts moeten toegang uit vertrouwde Microsoft-services toestaanStorage accounts should allow access from trusted Microsoft services Sommige Microsoft-services die communiceren met opslagaccounts, werken vanuit netwerken waaraan geen toegang kan worden verleend via netwerkregels.Some Microsoft services that interact with storage accounts operate from networks that can't be granted access through network rules. Om dit type service goed te laten werken, moet u de set vertrouwde Microsoft-services toestaan om de netwerkregels over te slaan.To help this type of service work as intended, allow the set of trusted Microsoft services to bypass the network rules. Deze services gebruiken vervolgens sterke verificatie om toegang te krijgen tot het opslagaccount.These services will then use strong authentication to access the storage account. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan IP-adresbereiken van openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Webtoepassing mag alleen toegankelijk zijn via HTTPSWeb Application should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerktoegang'Windows machines should meet requirements for 'Security Options - Network Access' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerktoegang voor onder meer toegang voor anonieme gebruikers, lokale accounts en externe toegang tot het register.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Access' for including access for anonymous users, local accounts, and remote access to the registry. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Windows-webservers moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollenWindows web servers should be configured to use secure communication protocols Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw webservers gebruikmaken van de nieuwste versie van het industriestandaard cryptografieprotocol, Transport Layer Security (TLS).To protect the privacy of information communicated over the Internet, your web servers should use the latest version of the industry-standard cryptographic protocol, Transport Layer Security (TLS). TLS beveiligt communicatie via een netwerk met behulp van beveiligingscertificaten om een verbinding tussen computers te versleutelen.TLS secures communications over a network by using security certificates to encrypt a connection between machines. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.1.02.1.0

Controleer en beheer/beperk verbindingen met en gebruik van externe informatiesystemen.Verify and control/limit connections to and use of external information systems.

Id: CmMC L3 AC.1.003 Eigendom: GedeeldID: CMMC L3 AC.1.003 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gerichtAdaptive network hardening recommendations should be applied on internet facing virtual machines Azure Security Center analyseert de verkeerspatronen van virtuele machines die vanaf het internet toegankelijk zijn, en formuleert aanbevelingen voor regels voor de netwerkbeveiligingsgroep die de kans op aanvallen beperkenAzure Security Center analyzes the traffic patterns of Internet facing virtual machines and provides Network Security Group rule recommendations that reduce the potential attack surface AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Alle internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure FirewallAll Internet traffic should be routed via your deployed Azure Firewall Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie.Azure Security Center has identified that some of your subnets aren't protected with a next generation firewall. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatieProtect your subnets from potential threats by restricting access to them with Azure Firewall or a supported next generation firewall AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.0-preview3.0.0-preview
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepenInternet-facing virtual machines should be protected with network security groups Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your virtual machines from potential threats by restricting access to them with network security groups (NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-docLearn more about controlling traffic with NSGs at https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
RDP-toegang via internet moet worden geblokkeerdRDP access from the Internet should be blocked Met dit beleid wordt elke netwerkbeveiligingsregel gecontroleerd die RDP-toegang via internet toestaatThis policy audits any network security rule that allows RDP access from Internet Controle, uitgeschakeldAudit, Disabled 2.0.02.0.0
SSH-toegang via internet moet worden geblokkeerdSSH access from the Internet should be blocked Met dit beleid wordt elke netwerkbeveiligingsregel gecontroleerd die SSH-toegang via internet toestaatThis policy audits any network security rule that allows SSH access from Internet Controle, uitgeschakeldAudit, Disabled 2.0.02.0.0

Gebruik het principe van de minste bevoegdheden, inclusief voor specifieke beveiligingsfuncties en bevoegde accounts.Employ the principle of least privilege, including for specific security functions and privileged accounts.

Id: CmMC L3 AC.2.007 Eigendom: GedeeldID: CMMC L3 AC.2.007 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with read permissions should be removed from your subscription Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with read privileges should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with write permissions should be removed from your subscription Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with write privileges should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheerManagement ports of virtual machines should be protected with just-in-time network access control Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security CenterPossible network Just In Time (JIT) access will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes ServicesRole-Based Access Control (RBAC) should be used on Kubernetes Services Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om de machtigingen in Kubernetes Service-clusters te beheren en het relevante autorisatiebeleid te configureren om gedetailleerde filters te bieden voor de acties die gebruikers kunnen uitvoeren.To provide granular filtering on the actions that users can perform, use Role-Based Access Control (RBAC) to manage permissions in Kubernetes Service Clusters and configure relevant authorization policies. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2

Gebruik niet-bevoegde accounts of rollen bij het openen van niet-beveiligingsfuncties.Use non-privileged accounts or roles when accessing nonsecurity functions.

Id: Eigendom van CMMC L3 AC.2.008: Gedeeld ID: CMMC L3 AC.2.008 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Gebruikersaccountbeheer'Windows machines should meet requirements for 'Security Options - User Account Control' Windows-computers moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Gebruikersaccountbeheer voor de modus voor beheerders, het gedrag van verhoogde bevoegdheden en het virtualiseren van schrijffouten in bestanden en registers.Windows machines should have the specified Group Policy settings in the category 'Security Options - User Account Control' for mode for admins, behavior of elevation prompt, and virtualizing file and registry write failures. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Toewijzing van gebruikersrechten'Windows machines should meet requirements for 'User Rights Assignment' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Toewijzing van gebruikersrechten, waarmee lokaal aanmelden, RDP, toegang vanaf het netwerk en talloze overige gebruikersactiviteiten mogelijk zijn.Windows machines should have the specified Group Policy settings in the category 'User Rights Assignment' for allowing log on locally, RDP, access from the network, and many other user activities. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Externe toegangssessies bewaken en beherenMonitor and control remote access sessions.

Id: CmMC L3 AC.2.013 Eigendom: GedeeldID: CMMC L3 AC.2.013 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaanAudit Linux machines that allow remote connections from accounts without passwords Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaanMachines are non-compliant if Linux machines that allow remote connections from accounts without passwords AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheerManagement ports of virtual machines should be protected with just-in-time network access control Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security CenterPossible network Just In Time (JIT) access will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Network Watcher moet zijn ingeschakeldNetwork Watcher should be enabled Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken.Network Watcher is a regional service that enables you to monitor and diagnose conditions at a network scenario level in, to, and from Azure. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk.Scenario level monitoring enables you to diagnose problems at an end to end network level view. U kunt de beschikbare diagnostische en visualisatiehulpprogramma's voor netwerken in Network Watcher gebruiken om uw netwerk in Azure te begrijpen, te analyseren en inzichten voor uw netwerk te verkrijgen.Network diagnostic and visualization tools available with Network Watcher help you understand, diagnose, and gain insights to your network in Azure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Externe foutopsporing moet worden uitgeschakeld voor API-appsRemote debugging should be turned off for API Apps Voor externe foutopsporing moeten binnenkomende poorten worden geopend op API-apps.Remote debugging requires inbound ports to be opened on API apps. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Externe foutopsporing moet worden uitgeschakeld voor Function-appsRemote debugging should be turned off for Function Apps Voor externe foutopsporing moeten binnenkomende poorten worden geopend op Function-apps.Remote debugging requires inbound ports to be opened on function apps. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Externe foutopsporing moet worden uitgeschakeld voor webtoepassingenRemote debugging should be turned off for Web Applications Voor externe foutopsporing moeten binnenkomende poorten worden geopend op een webtoepassing.Remote debugging requires inbound ports to be opened on a web application. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan IP-adresbereiken van openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Externe toegang omgeleid via beheerde toegangsbeheerpunten.Route remote access via managed access control points.

Id: CmMC L3 AC.2.015 Eigendom: KlantID: CMMC L3 AC.2.015 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
RDP-toegang via internet moet worden geblokkeerdRDP access from the Internet should be blocked Met dit beleid wordt elke netwerkbeveiligingsregel gecontroleerd die RDP-toegang via internet toestaatThis policy audits any network security rule that allows RDP access from Internet Controle, uitgeschakeldAudit, Disabled 2.0.02.0.0

De stroom van CUI beheren in overeenstemming met goedgekeurde autorisaties.Control the flow of CUI in accordance with approved authorizations.

Id: CmMC L3 AC.2.016 Eigendom: GedeeldID: CMMC L3 AC.2.016 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gerichtAdaptive network hardening recommendations should be applied on internet facing virtual machines Azure Security Center analyseert de verkeerspatronen van virtuele machines die vanaf het internet toegankelijk zijn, en formuleert aanbevelingen voor regels voor de netwerkbeveiligingsgroep die de kans op aanvallen beperkenAzure Security Center analyzes the traffic patterns of Internet facing virtual machines and provides Network Security Group rule recommendations that reduce the potential attack surface AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Alle internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure FirewallAll Internet traffic should be routed via your deployed Azure Firewall Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie.Azure Security Center has identified that some of your subnets aren't protected with a next generation firewall. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatieProtect your subnets from potential threats by restricting access to them with Azure Firewall or a supported next generation firewall AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.0-preview3.0.0-preview
Cognitive Services-accounts moeten openbare netwerktoegang uitschakelenCognitive Services accounts should disable public network access Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen Cognitive Services account niet wordt blootgesteld op het openbare internet.Disabling public network access improves security by ensuring that Cognitive Services account isn't exposed on the public internet. Het maken van privé-eindpunten kan de blootstelling van Cognitive Services beperken.Creating private endpoints can limit exposure of Cognitive Services account. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2129800.Learn more at: https://go.microsoft.com/fwlink/?linkid=2129800. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.11.0.1
Voor Cognitive Services-accounts moet de netwerktoegang zijn beperktCognitive Services accounts should restrict network access Netwerktoegang tot Cognitive Services-accounts moet zijn beperkt.Network access to Cognitive Services accounts should be restricted. Configureer netwerkregels zodat alleen toepassingen van toegestane netwerken toegang hebben tot het Cognitive Services-account.Configure network rules so only applications from allowed networks can access the Cognitive Services account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet.To allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Containerregisters mogen geen onbeperkte netwerktoegang toestaanContainer registries should not allow unrestricted network access Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk.Azure container registries by default accept connections over the internet from hosts on any network. Als u uw registers tegen mogelijke dreigingen wilt beveiligen, moet u alleen toegang vanaf specifieke openbare IP-adressen of adresbereiken toestaan.To protect your registries from potential threats, allow access from only specific public IP addresses or address ranges. Als uw register geen IP/firewallregel of een geconfigureerd virtueel netwerk heeft, wordt het in de beschadigde resources weergegeven.If your registry doesn't have an IP/firewall rule or a configured virtual network, it will appear in the unhealthy resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/portal/public-network en hier https://aka.ms/acr/vnet.Learn more about Container Registry network rules here: https://aka.ms/acr/portal/public-network and here https://aka.ms/acr/vnet. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
CORS mag er niet toe leiden dat elk domein toegang tot uw API voor FHIR heeftCORS should not allow every domain to access your API for FHIR Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw API voor FHIR.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your API for FHIR. Als u uw API voor FHIR wilt beveiligen, verwijdert u de toegang voor alle domeinen en definieert u de domeinen die zijn toegestaan om verbinding te maken.To protect your API for FHIR, remove access for all domains and explicitly define the domains allowed to connect. controle, uitgeschakeldaudit, disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang tot uw API-app heeftCORS should not allow every resource to access your API App Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw API-app.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your API app. Sta alleen de vereiste domeinen toe om met uw API-app te communiceren.Allow only required domains to interact with your API app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw Function-appsCORS should not allow every resource to access your Function Apps Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your Function app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren.Allow only required domains to interact with your Function app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepenInternet-facing virtual machines should be protected with network security groups Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your virtual machines from potential threats by restricting access to them with network security groups (NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-docLearn more about controlling traffic with NSGs at https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeldPublic network access on Azure SQL Database should be disabled Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure SQL Database can only be accessed from a private endpoint. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk.This configuration denies all logins that match IP or virtual network based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-serversPublic network access should be disabled for MariaDB servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MariaDB alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for MariaDB can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd.This configuration strictly disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele MySQL-serversPublic network access should be disabled for MySQL flexible servers Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for MySQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure Database for MySQL flexible servers can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration strictly disables access from any public address space outside of Azure IP range and denies all logins that match IP or virtual network-based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-serversPublic network access should be disabled for MySQL servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for MySQL can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd.This configuration strictly disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele PostgreSQL-serversPublic network access should be disabled for PostgreSQL flexible servers Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for PostgreSQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure Database for PostgreSQL flexible servers can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration strictly disables access from any public address space outside of Azure IP range and denies all logins that match IP or virtual network-based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-serversPublic network access should be disabled for PostgreSQL servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for PostgreSQL can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
RDP-toegang via internet moet worden geblokkeerdRDP access from the Internet should be blocked Met dit beleid wordt elke netwerkbeveiligingsregel gecontroleerd die RDP-toegang via internet toestaatThis policy audits any network security rule that allows RDP access from Internet Controle, uitgeschakeldAudit, Disabled 2.0.02.0.0
Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes ServicesRole-Based Access Control (RBAC) should be used on Kubernetes Services Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om de machtigingen in Kubernetes Service-clusters te beheren en het relevante autorisatiebeleid te configureren om gedetailleerde filters te bieden voor de acties die gebruikers kunnen uitvoeren.To provide granular filtering on the actions that users can perform, use Role-Based Access Control (RBAC) to manage permissions in Kubernetes Service Clusters and configure relevant authorization policies. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Openbare toegang tot een opslagaccount moet niet worden toegestaanStorage account public access should be disallowed Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren.Anonymous public read access to containers and blobs in Azure Storage is a convenient way to share data but might present security risks. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario.To prevent data breaches caused by undesired anonymous access, Microsoft recommends preventing public access to a storage account unless your scenario requires it. controleren, weigeren, uitgeschakeldaudit, deny, disabled 2.0.1-preview2.0.1-preview
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend tot verkeer van specifieke virtuele Azure-netwerken of tot ip-adresbereiken voor openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerktoegang'Windows machines should meet requirements for 'Security Options - Network Access' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerktoegang voor onder meer toegang voor anonieme gebruikers, lokale accounts en externe toegang tot het register.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Access' for including access for anonymous users, local accounts, and remote access to the registry. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

De taken van individuen scheiden om het risico op kwaadaardige activiteiten zonder samenzwering te beperken.Separate the duties of individuals to reduce the risk of malevolent activity without collusion.

Id: CmMC L3 AC.3.017 Eigendom: GedeeldID: CMMC L3 AC.3.017 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnementA maximum of 3 owners should be designated for your subscription Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken.It is recommended to designate up to 3 subscription owners in order to reduce the potential for breach by a compromised owner. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Windows-machines controleren waarop opgegeven leden van de groep Beheerders ontbrekenAudit Windows machines missing any of specified members in the Administrators group Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als de lokale groep Beheerders niet één of meer leden bevat die worden vermeld in de beleidsparameter.Machines are non-compliant if the local Administrators group does not contain one or more members that are listed in the policy parameter. auditIfNotExistsauditIfNotExists 1.0.01.0.0
Windows-machines controleren die opgegeven leden van de groep Beheerders bevattenAudit Windows machines that have the specified members in the Administrators group Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als de lokale groep Beheerders één of meer leden bevat die worden vermeld in de beleidsparameter.Machines are non-compliant if the local Administrators group contains one or more of the members listed in the policy parameter. auditIfNotExistsauditIfNotExists 1.0.01.0.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnementThere should be more than one owner assigned to your subscription Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders.It is recommended to designate more than one subscription owner in order to have administrator access redundancy. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Voorkom dat niet-bevoegde gebruikers functies met bevoegdheden uitvoeren en leg de uitvoering van dergelijke functies vast in auditlogboeken.Prevent non-privileged users from executing privileged functions and capture the execution of such functions in audit logs.

Id: CmMC L3 AC.3.018 Eigendom: GedeeldID: CMMC L3 AC.3.018 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingenAn activity log alert should exist for specific Administrative operations Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Administrative operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Het gebruik van aangepaste RBAC-regels controlerenAudit usage of custom RBAC rules Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten.Audit built-in roles such as 'Owner, Contributer, Reader' instead of custom RBAC roles, which are error prone. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodelleringUsing custom roles is treated as an exception and requires a rigorous review and threat modeling Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Gebruik van bevoegdheden'Windows machines should meet requirements for 'System Audit Policies - Privilege Use' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Gebruik van bevoegdheden om het gebruik van niet-gevoelige en andere bevoegdheden te controleren.Windows machines should have the specified Group Policy settings in the category 'System Audit Policies - Privilege Use' for auditing nonsensitive and other privilege use. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Externe uitvoering van bevoorrechte opdrachten en externe toegang tot voor beveiliging relevante informatie toestaan.Authorize remote execution of privileged commands and remote access to security-relevant information.

Id: CmMC L3 AC.3.021 Eigendom: GedeeldID: CMMC L3 AC.3.021 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingenAn activity log alert should exist for specific Administrative operations Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Administrative operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingenAn activity log alert should exist for specific Security operations Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Security operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM'sDeploy the Linux Guest Configuration extension to enable Guest Configuration assignments on Linux VMs Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie.This policy deploys the Linux Guest Configuration extension to Linux virtual machines hosted in Azure that are supported by Guest Configuration. De Linux-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Linux-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Linux-gastconfiguratie.The Linux Guest Configuration extension is a prerequisite for all Linux Guest Configuration assignments and must deployed to machines before using any Linux Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Gastconfiguratie-extensie moet worden geïnstalleerd op uw computersGuest Configuration extension should be installed on your machines Installeer de gastconfiguratie-extensie om veilige configuraties van in-guest-instellingen van uw computer te garanderen.To ensure secure configurations of in-guest settings of your machine, install the Guest Configuration extension. In-guest-instellingen die door de extensie worden bewaakt, zijn onder andere de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheid en de omgevingsinstellingen.In-guest settings that the extension monitors include the configuration of the operating system, application configuration or presence, and environment settings. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'.Once installed, in-guest policies will be available such as 'Windows Exploit guard should be enabled'. Meer informatie op https://aka.ms/gcpol .Learn more at https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
De extensie voor gastconfiguratie van virtuele machines moet worden geïmplementeerd met een door het systeem toegewezen beheerde identiteitVirtual machines' Guest Configuration extension should be deployed with system-assigned managed identity De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit.The Guest Configuration extension requires a system assigned managed identity. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar er geen door het systeem toegewezen beheerde identiteit aan is toegewezen.Azure virtual machines in the scope of this policy will be non-compliant when they have the Guest Configuration extension installed but do not have a system assigned managed identity. Meer informatie op https://aka.ms/gcpolLearn more at https://aka.ms/gcpol AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Gebruikersaccountbeheer'Windows machines should meet requirements for 'Security Options - User Account Control' Windows-computers moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Gebruikersaccountbeheer voor de modus voor beheerders, het gedrag van verhoogde bevoegdheden en het virtualiseren van schrijffouten in bestanden en registers.Windows machines should have the specified Group Policy settings in the category 'Security Options - User Account Control' for mode for admins, behavior of elevation prompt, and virtualizing file and registry write failures. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Toewijzing van gebruikersrechten'Windows machines should meet requirements for 'User Rights Assignment' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Toewijzing van gebruikersrechten, waarmee lokaal aanmelden, RDP, toegang vanaf het netwerk en talloze overige gebruikersactiviteiten mogelijk zijn.Windows machines should have the specified Group Policy settings in the category 'User Rights Assignment' for allowing log on locally, RDP, access from the network, and many other user activities. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Controle en verantwoordelijkheidAudit and Accountability

Zorg ervoor dat de acties van afzonderlijke systeemgebruikers uniek kunnen worden getraceerd naar die gebruikers, zodat ze verantwoordelijk kunnen worden gehouden voor hun acties.Ensure that the actions of individual system users can be uniquely traced to those users so they can be held accountable for their actions.

Id: CmMC L3 AU.2.041 Eigendom: GedeeldID: CMMC L3 AU.2.041 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingenAn activity log alert should exist for specific Administrative operations Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Administrative operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingenAn activity log alert should exist for specific Policy operations Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Policy operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingenAn activity log alert should exist for specific Security operations Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Security operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Audit diagnostic setting (Diagnostische instelling voor controleren)Audit diagnostic setting Diagnostische controle-instelling voor geselecteerde resourcetypenAudit diagnostic setting for selected resource types AuditIfNotExistsAuditIfNotExists 1.0.01.0.0
Log Analytics-werkruimte voor VM controleren - niet-overeenkomende items rapporterenAudit Log Analytics workspace for VM - Report Mismatch Hiermee worden VM's als niet-overeenkomend vermeld als de logboekgegevens niet worden opgeslagen in de Log Analytics-werkruimte die is opgegeven in de beleids-/initiatieftoewijzing.Reports VMs as non-compliant if they aren't logging to the Log Analytics workspace specified in the policy/initiative assignment. controlerenaudit 1.0.11.0.1
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Met het Azure Monitor-logboekprofiel moeten logboeken worden verzameld voor de categorieën 'schrijven', 'verwijderen' en 'actie'Azure Monitor log profile should collect logs for categories 'write,' 'delete,' and 'action' Met dit beleid wordt ervoor gezorgd dat in een logboekprofiel logboeken worden verzameld voor de categorieën 'schrijven', 'verwijderen' en 'actie'This policy ensures that a log profile collects logs for categories 'write,' 'delete,' and 'action' AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Azure Monitor moet activiteitenlogboeken uit alle regio's verzamelenAzure Monitor should collect activity logs from all regions Met dit beleid wordt het Azure Monitor-logboekprofiel gecontroleerd waarbij geen activiteiten worden geëxporteerd uit alle door Azure ondersteunde regio's, inclusief wereldwijd.This policy audits the Azure Monitor log profile which does not export activities from all Azure supported regions including global. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Azure-abonnementen moeten een logboekprofiel voor het activiteitenlogboek hebbenAzure subscriptions should have a log profile for Activity Log Dit beleid zorgt ervoor dat een logboekprofiel is ingeschakeld voor het exporteren van activiteitenlogboeken.This policy ensures if a log profile is enabled for exporting activity logs. Het controleert of er een logboekprofiel is gemaakt om de logboeken te exporteren naar een opslagaccount of een Event Hub.It audits if there is no log profile created to export the logs either to a storage account or to an event hub. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Log Analytics-agent moet zijn ingeschakeld voor vermelde virtuele-machine-afbeeldingenLog Analytics Agent should be enabled for listed virtual machine images Rapporteert virtuele machines als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machines as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.0-preview2.0.0-preview
Log Analytics-agent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde virtuele-machine-afbeeldingenLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machine scale sets as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsetsThe Log Analytics agent should be installed on Virtual Machine Scale Sets Met dit beleid worden alle virtuele-machineschaalsets van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd.This policy audits any Windows/Linux Virtual Machine Scale Sets if the Log Analytics agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele machinesThe Log Analytics agent should be installed on virtual machines Met dit beleid worden alle virtuele machines van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd.This policy audits any Windows/Linux virtual machines if the Log Analytics agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0

Systeemauditlogboeken en -records maken en bewaren in de mate die nodig is om bewaking, analyse, onderzoek en rapportage van onrechtmatige of niet-geautoriseerde systeemactiviteiten mogelijk te maken.Create and retain system audit logs and records to the extent needed to enable the monitoring, analysis, investigation, and reporting of unlawful or unauthorized system activity.

Id: Eigendom van CMMC L3 AU.2.042: Gedeeld ID: CMMC L3 AU.2.042 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Het activiteitenlogboek moet ten minste één jaar worden bewaardActivity log should be retained for at least one year Met dit beleid wordt het activiteitenlogboek gecontroleerd als de bewaarperiode niet is ingesteld op 365 dagen of permanent (bewaarperiode ingesteld op 0).This policy audits the activity log if the retention is not set for 365 days or forever (retention days set to 0). AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingenAn activity log alert should exist for specific Administrative operations Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Administrative operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingenAn activity log alert should exist for specific Policy operations Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Policy operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingenAn activity log alert should exist for specific Security operations Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Security operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Audit diagnostic setting (Diagnostische instelling voor controleren)Audit diagnostic setting Diagnostische controle-instelling voor geselecteerde resourcetypenAudit diagnostic setting for selected resource types AuditIfNotExistsAuditIfNotExists 1.0.01.0.0
Log Analytics-werkruimte voor VM controleren - niet-overeenkomende items rapporterenAudit Log Analytics workspace for VM - Report Mismatch Hiermee worden VM's als niet-overeenkomend vermeld als de logboekgegevens niet worden opgeslagen in de Log Analytics-werkruimte die is opgegeven in de beleids-/initiatieftoewijzing.Reports VMs as non-compliant if they aren't logging to the Log Analytics workspace specified in the policy/initiative assignment. controlerenaudit 1.0.11.0.1
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Azure Monitor moet activiteitenlogboeken uit alle regio's verzamelenAzure Monitor should collect activity logs from all regions Met dit beleid wordt het Azure Monitor-logboekprofiel gecontroleerd waarbij geen activiteiten worden geëxporteerd uit alle door Azure ondersteunde regio's, inclusief wereldwijd.This policy audits the Azure Monitor log profile which does not export activities from all Azure supported regions including global. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Azure-abonnementen moeten een logboekprofiel voor het activiteitenlogboek hebbenAzure subscriptions should have a log profile for Activity Log Dit beleid zorgt ervoor dat een logboekprofiel is ingeschakeld voor het exporteren van activiteitenlogboeken.This policy ensures if a log profile is enabled for exporting activity logs. Het controleert of er een logboekprofiel is gemaakt om de logboeken te exporteren naar een opslagaccount of een Event Hub.It audits if there is no log profile created to export the logs either to a storage account or to an event hub. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Log Analytics-agent moet zijn ingeschakeld voor vermelde virtuele-machine-afbeeldingenLog Analytics Agent should be enabled for listed virtual machine images Rapporteert virtuele machines als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machines as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.0-preview2.0.0-preview
Log Analytics-agent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde virtuele-machine-afbeeldingenLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machine scale sets as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsetsThe Log Analytics agent should be installed on Virtual Machine Scale Sets Met dit beleid worden alle virtuele-machineschaalsets van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd.This policy audits any Windows/Linux Virtual Machine Scale Sets if the Log Analytics agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele machinesThe Log Analytics agent should be installed on virtual machines Met dit beleid worden alle virtuele machines van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd.This policy audits any Windows/Linux virtual machines if the Log Analytics agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0

Waarschuwen als er een fout optreedt in het auditlogboekregistratieproces.Alert in the event of an audit logging process failure.

Id: Eigendom van CMMC L3 AU.3.046: Gedeeld ID: CMMC L3 AU.3.046 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Audit diagnostic setting (Diagnostische instelling voor controleren)Audit diagnostic setting Diagnostische controle-instelling voor geselecteerde resourcetypenAudit diagnostic setting for selected resource types AuditIfNotExistsAuditIfNotExists 1.0.01.0.0
Log Analytics-werkruimte voor VM controleren - niet-overeenkomende items rapporterenAudit Log Analytics workspace for VM - Report Mismatch Hiermee worden VM's als niet-overeenkomend vermeld als de logboekgegevens niet worden opgeslagen in de Log Analytics-werkruimte die is opgegeven in de beleids-/initiatieftoewijzing.Reports VMs as non-compliant if they aren't logging to the Log Analytics workspace specified in the policy/initiative assignment. controlerenaudit 1.0.11.0.1
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Log Analytics-agent moet zijn ingeschakeld voor vermelde virtuele-machine-afbeeldingenLog Analytics Agent should be enabled for listed virtual machine images Rapporteert virtuele machines als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machines as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.0-preview2.0.0-preview
Log Analytics-agent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde virtuele-machine-afbeeldingenLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machine scale sets as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Verzamel controlegegevens (bijvoorbeeld logboeken) in een of meer centrale opslagplaatsen.Collect audit information (e.g., logs) into one or more central repositories.

Id: Eigendom van CMMC L3 AU.3.048: Gedeeld ID: CMMC L3 AU.3.048 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Audit diagnostic setting (Diagnostische instelling voor controleren)Audit diagnostic setting Diagnostische controle-instelling voor geselecteerde resourcetypenAudit diagnostic setting for selected resource types AuditIfNotExistsAuditIfNotExists 1.0.01.0.0
Log Analytics-werkruimte voor VM controleren - niet-overeenkomende items rapporterenAudit Log Analytics workspace for VM - Report Mismatch Hiermee worden VM's als niet-overeenkomend vermeld als de logboekgegevens niet worden opgeslagen in de Log Analytics-werkruimte die is opgegeven in de beleids-/initiatieftoewijzing.Reports VMs as non-compliant if they aren't logging to the Log Analytics workspace specified in the policy/initiative assignment. controlerenaudit 1.0.11.0.1
Diagnostische logboeken in App Services moeten zijn ingeschakeldDiagnostic logs in App Services should be enabled De inschakeling van diagnostische logboeken in de app controleren.Audit enabling of diagnostic logs on the app. Hiermee kunt u voor onderzoeksdoeleinden activiteitensporen opnieuw maken als er een beveiligingsincident optreedt of als op uw netwerk is ingebrokenThis enables you to recreate activity trails for investigation purposes if a security incident occurs or your network is compromised AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Log Analytics-agent moet zijn ingeschakeld voor vermelde virtuele-machine-afbeeldingenLog Analytics Agent should be enabled for listed virtual machine images Rapporteert virtuele machines als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machines as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.0-preview2.0.0-preview
Log Analytics-agent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde virtuele-machine-afbeeldingenLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machine scale sets as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Resourcelogboeken in IoT Hub moeten zijn ingeschakeldResource logs in IoT Hub should be enabled Inschakelen van resourcelogboeken controleren.Audit enabling of resource logs. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetastThis enables you to recreate activity trails to use for investigation purposes; when a security incident occurs or when your network is compromised AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.13.0.1
De Log Analytics-agent moet worden geïnstalleerd op virtuele-machineschaalsetsThe Log Analytics agent should be installed on Virtual Machine Scale Sets Met dit beleid worden alle virtuele-machineschaalsets van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd.This policy audits any Windows/Linux Virtual Machine Scale Sets if the Log Analytics agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Log Analytics-agent moet worden geïnstalleerd op virtuele machinesThe Log Analytics agent should be installed on virtual machines Met dit beleid worden alle virtuele machines van Windows/Linux gecontroleerd als de Log Analytics-agent niet is geïnstalleerd.This policy audits any Windows/Linux virtual machines if the Log Analytics agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0

Bebeveiligen controlegegevens en auditlogprogramma's voor logboekregistratie tegen onbevoegde toegang, wijziging en verwijdering.Protect audit information and audit logging tools from unauthorized access, modification, and deletion.

Id: CmMC L3 AU.3.049 Eigendom: GedeeldID: CMMC L3 AU.3.049 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingenAn activity log alert should exist for specific Policy operations Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Policy operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Audit diagnostic setting (Diagnostische instelling voor controleren)Audit diagnostic setting Diagnostische controle-instelling voor geselecteerde resourcetypenAudit diagnostic setting for selected resource types AuditIfNotExistsAuditIfNotExists 1.0.01.0.0

BeveiligingsevaluatieSecurity Assessment

Evalueer regelmatig de beveiligingscontroles in organisatiesystemen om te bepalen of de besturingselementen van kracht zijn in hun toepassing.Periodically assess the security controls in organizational systems to determine if the controls are effective in their application.

Id: CmMC L3 CA.2.158 Eigendom: GedeeldID: CMMC L3 CA.2.158 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)A vulnerability assessment solution should be enabled on your virtual machines Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd.Audits virtual machines to detect whether they are running a supported vulnerability assessment solution. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen.A core component of every cyber risk and security program is the identification and analysis of vulnerabilities. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten.Azure Security Center's standard pricing tier includes vulnerability scanning for your virtual machines at no extra cost. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd.Additionally, Security Center can automatically deploy this tool for you. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computersAdaptive application controls for defining safe applications should be enabled on your machines Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd.Enable application controls to define the list of known-safe applications running on your machines, and alert you when other applications run. Dit helpt uw computers te beschermen tegen schadelijke software.This helps harden your machines against malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.To simplify the process of configuring and maintaining your rules, Security Center uses machine learning to analyze the applications running on each machine and suggest the list of known-safe applications. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerktAllowlist rules in your adaptive application control policy should be updated Controleer op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Azure Security Center.Monitor for changes in behavior on groups of machines configured for auditing by Azure Security Center's adaptive application controls. Security Center gebruikt machine learning voor het analyseren van de processen die worden uitgevoerd op uw computers en stelt een lijst voor met bekende veilige toepassingen.Security Center uses machine learning to analyze the running processes on your machines and suggest a list of known-safe applications. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars.These are presented as recommended apps to allow in adaptive application control policies. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingenAn activity log alert should exist for specific Security operations Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Security operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Oplossing voor eindpuntbeveiliging moet worden geïnstalleerd op virtuele-machineschaalsetsEndpoint protection solution should be installed on virtual machine scale sets Controleer op de aanwezigheid en status van een oplossing voor eindpuntbeveiliging op virtuele-machineschaalsets, waarmee de schaalsets worden beschermd tegen bedreigingen en beveiligingsproblemen.Audit the existence and health of an endpoint protection solution on your virtual machines scale sets, to protect them from threats and vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Ontbrekende eindpuntbeveiliging bewaken in Azure Security CenterMonitor missing Endpoint Protection in Azure Security Center Servers zonder geïnstalleerde agent voor eindpuntbeveiliging worden als aanbevelingen bewaakt door Azure Security CenterServers without an installed Endpoint Protection agent will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
De prijscategorie Standard voor Security Center moet zijn geselecteerdSecurity Center standard pricing tier should be selected De prijscategorie Standard voorziet in detectie van bedreigingen voor netwerken en virtuele machines en biedt bedreigingsinformatie, anomaliedetectie en gedragsanalyse in Azure Security CenterThe standard pricing tier enables threat detection for networks and virtual machines, providing threat intelligence, anomaly detection, and behavior analytics in Azure Security Center Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed InstanceVulnerability assessment should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld.Audit each SQL Managed Instance which doesn't have recurring vulnerability assessment scans enabled. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.Vulnerability assessment can discover, track, and help you remediate potential database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-serversVulnerability assessment should be enabled on your SQL servers Controleer Azure SQL-servers waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld.Audit Azure SQL servers which do not have recurring vulnerability assessment scans enabled. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.Vulnerability assessment can discover, track, and help you remediate potential database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Besturingselementen voor beveiliging continu bewaken om ervoor te zorgen dat de controles effectief blijven.Monitor security controls on an ongoing basis to ensure the continued effectiveness of the controls.

Id: CmMC L3 CA.3.161 Eigendom: GedeeldID: CMMC L3 CA.3.161 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)A vulnerability assessment solution should be enabled on your virtual machines Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd.Audits virtual machines to detect whether they are running a supported vulnerability assessment solution. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen.A core component of every cyber risk and security program is the identification and analysis of vulnerabilities. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten.Azure Security Center's standard pricing tier includes vulnerability scanning for your virtual machines at no extra cost. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd.Additionally, Security Center can automatically deploy this tool for you. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computersAdaptive application controls for defining safe applications should be enabled on your machines Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd.Enable application controls to define the list of known-safe applications running on your machines, and alert you when other applications run. Dit helpt uw computers te beschermen tegen schadelijke software.This helps harden your machines against malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.To simplify the process of configuring and maintaining your rules, Security Center uses machine learning to analyze the applications running on each machine and suggest the list of known-safe applications. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerktAllowlist rules in your adaptive application control policy should be updated Controleer op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Azure Security Center.Monitor for changes in behavior on groups of machines configured for auditing by Azure Security Center's adaptive application controls. Security Center gebruikt machine learning voor het analyseren van de processen die worden uitgevoerd op uw computers en stelt een lijst voor met bekende veilige toepassingen.Security Center uses machine learning to analyze the running processes on your machines and suggest a list of known-safe applications. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars.These are presented as recommended apps to allow in adaptive application control policies. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingenAn activity log alert should exist for specific Security operations Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Security operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Oplossing voor eindpuntbeveiliging moet worden geïnstalleerd op virtuele-machineschaalsetsEndpoint protection solution should be installed on virtual machine scale sets Controleer op de aanwezigheid en status van een oplossing voor eindpuntbeveiliging op virtuele-machineschaalsets, waarmee de schaalsets worden beschermd tegen bedreigingen en beveiligingsproblemen.Audit the existence and health of an endpoint protection solution on your virtual machines scale sets, to protect them from threats and vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Ontbrekende eindpuntbeveiliging bewaken in Azure Security CenterMonitor missing Endpoint Protection in Azure Security Center Servers zonder geïnstalleerde agent voor eindpuntbeveiliging worden als aanbevelingen bewaakt door Azure Security CenterServers without an installed Endpoint Protection agent will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
De prijscategorie Standard voor Security Center moet zijn geselecteerdSecurity Center standard pricing tier should be selected De prijscategorie Standard voorziet in detectie van bedreigingen voor netwerken en virtuele machines en biedt bedreigingsinformatie, anomaliedetectie en gedragsanalyse in Azure Security CenterThe standard pricing tier enables threat detection for networks and virtual machines, providing threat intelligence, anomaly detection, and behavior analytics in Azure Security Center Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed InstanceVulnerability assessment should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld.Audit each SQL Managed Instance which doesn't have recurring vulnerability assessment scans enabled. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.Vulnerability assessment can discover, track, and help you remediate potential database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-serversVulnerability assessment should be enabled on your SQL servers Controleer Azure SQL-servers waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld.Audit Azure SQL servers which do not have recurring vulnerability assessment scans enabled. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.Vulnerability assessment can discover, track, and help you remediate potential database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Configuration ManagementConfiguration Management

Basisconfiguraties en inventarissen van organisatiesystemen (waaronder hardware, software, firmware en documentatie) instellen en onderhouden gedurende de respectieve levenscyclus voor systeemontwikkeling.Establish and maintain baseline configurations and inventories of organizational systems (including hardware, software, firmware, and documentation) throughout the respective system development life cycles.

Id: CmMC L3 CM.2.061 Eigendom: GedeeldID: CMMC L3 CM.2.061 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computersAdaptive application controls for defining safe applications should be enabled on your machines Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd.Enable application controls to define the list of known-safe applications running on your machines, and alert you when other applications run. Dit helpt uw computers te beschermen tegen schadelijke software.This helps harden your machines against malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.To simplify the process of configuring and maintaining your rules, Security Center uses machine learning to analyze the applications running on each machine and suggest the list of known-safe applications. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingenAn activity log alert should exist for specific Policy operations Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Policy operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Linux-machines moeten voldoen aan vereisten van de Azure-beveiligingsbasislijnLinux machines should meet requirements for the Azure security baseline Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines zijn niet-compatibel als Linux-machines moeten voldoen aan vereisten van de Azure-beveiligingsbasislijnMachines are non-compliant if Linux machines should meet the requirements for the Azure security baseline AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.1.0-preview1.1.0-preview

Gebruik het principe van de minste functionaliteit door organisatiesystemen te configureren om alleen essentiële mogelijkheden te bieden.Employ the principle of least functionality by configuring organizational systems to provide only essential capabilities.

Id: CmMC L3 CM.2.062 Eigendom: GedeeldID: CMMC L3 CM.2.062 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes ServicesRole-Based Access Control (RBAC) should be used on Kubernetes Services Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om de machtigingen in Kubernetes Service-clusters te beheren en het relevante autorisatiebeleid te configureren om gedetailleerde filters te bieden voor de acties die gebruikers kunnen uitvoeren.To provide granular filtering on the actions that users can perform, use Role-Based Access Control (RBAC) to manage permissions in Kubernetes Service Clusters and configure relevant authorization policies. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Gebruik van bevoegdheden'Windows machines should meet requirements for 'System Audit Policies - Privilege Use' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Gebruik van bevoegdheden om het gebruik van niet-gevoelige en andere bevoegdheden te controleren.Windows machines should have the specified Group Policy settings in the category 'System Audit Policies - Privilege Use' for auditing nonsensitive and other privilege use. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Door de gebruiker geïnstalleerde software beheren en bewaken.Control and monitor user-installed software.

Id: CMMC L3 CM.2.063 Eigendom: GedeeldID: CMMC L3 CM.2.063 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computersAdaptive application controls for defining safe applications should be enabled on your machines Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd.Enable application controls to define the list of known-safe applications running on your machines, and alert you when other applications run. Dit helpt uw computers te beschermen tegen schadelijke software.This helps harden your machines against malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.To simplify the process of configuring and maintaining your rules, Security Center uses machine learning to analyze the applications running on each machine and suggest the list of known-safe applications. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerktAllowlist rules in your adaptive application control policy should be updated Controleer op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Azure Security Center.Monitor for changes in behavior on groups of machines configured for auditing by Azure Security Center's adaptive application controls. Security Center gebruikt machine learning voor het analyseren van de processen die worden uitgevoerd op uw computers en stelt een lijst voor met bekende veilige toepassingen.Security Center uses machine learning to analyze the running processes on your machines and suggest a list of known-safe applications. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars.These are presented as recommended apps to allow in adaptive application control policies. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
De prijscategorie Standard voor Security Center moet zijn geselecteerdSecurity Center standard pricing tier should be selected De prijscategorie Standard voorziet in detectie van bedreigingen voor netwerken en virtuele machines en biedt bedreigingsinformatie, anomaliedetectie en gedragsanalyse in Azure Security CenterThe standard pricing tier enables threat detection for networks and virtual machines, providing threat intelligence, anomaly detection, and behavior analytics in Azure Security Center Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Gebruikersaccountbeheer'Windows machines should meet requirements for 'Security Options - User Account Control' Windows-computers moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Gebruikersaccountbeheer voor de modus voor beheerders, het gedrag van verhoogde bevoegdheden en het virtualiseren van schrijffouten in bestanden en registers.Windows machines should have the specified Group Policy settings in the category 'Security Options - User Account Control' for mode for admins, behavior of elevation prompt, and virtualizing file and registry write failures. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Beveiligingsconfiguratie-instellingen instellen en afdwingen voor informatietechnologieproducten die worden gebruikt in organisatiesystemen.Establish and enforce security configuration settings for information technology products employed in organizational systems.

Id: CMMC L3 CM.2.064 Eigendom: GedeeldID: CMMC L3 CM.2.064 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Alle internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure FirewallAll Internet traffic should be routed via your deployed Azure Firewall Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie.Azure Security Center has identified that some of your subnets aren't protected with a next generation firewall. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatieProtect your subnets from potential threats by restricting access to them with Azure Firewall or a supported next generation firewall AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.0-preview3.0.0-preview
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machineAll network ports should be restricted on network security groups associated to your virtual machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd.Azure Security Center has identified some of your network security groups' inbound rules to be too permissive. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’.Inbound rules should not allow access from 'Any' or 'Internet' ranges. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen.This can potentially enable attackers to target your resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Azure Key Vault moet openbare netwerktoegang uitschakelenAzure Key Vault should disable public network access Schakel openbare netwerktoegang voor uw sleutelkluis uit zodat deze niet toegankelijk is via het openbare internet.Disable public network access for your key vault so that it's not accessible over the public internet. Dit kan het risico op gegevenslekken verminderen.This can reduce data leakage risks. Zie voor meer informatie: https://aka.ms/akvprivatelink.Learn more at: https://aka.ms/akvprivatelink. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.0-preview1.1.0-preview
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application GatewayWeb Application Firewall (WAF) should be enabled for Application Gateway Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer.Deploy Azure Web Application Firewall (WAF) in front of public facing web applications for additional inspection of incoming traffic. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen.Web Application Firewall (WAF) provides centralized protection of your web applications from common exploits and vulnerabilities such as SQL injections, Cross-Site Scripting, local and remote file executions. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels.You can also restrict access to your web applications by countries, IP address ranges, and other http(s) parameters via custom rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.11.0.1
Web Application Firewall (WAF) moet zijn ingeschakeld voor Azure Front Door Service serviceWeb Application Firewall (WAF) should be enabled for Azure Front Door Service service Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer.Deploy Azure Web Application Firewall (WAF) in front of public facing web applications for additional inspection of incoming traffic. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen.Web Application Firewall (WAF) provides centralized protection of your web applications from common exploits and vulnerabilities such as SQL injections, Cross-Site Scripting, local and remote file executions. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels.You can also restrict access to your web applications by countries, IP address ranges, and other http(s) parameters via custom rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.11.0.1
Web Application Firewall (WAF) moet de opgegeven modus gebruiken voor Application GatewayWeb Application Firewall (WAF) should use the specified mode for Application Gateway Hiermee wordt machtiging verleend dat de modus Detectie of Preventie actief is voor alle Web Application Firewall-beleidsregels voor Application Gateway.Mandates the use of 'Detection' or 'Prevention' mode to be active on all Web Application Firewall policies for Application Gateway. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Web Application Firewall (WAF) moet de opgegeven modus gebruiken voor Azure Front Door ServiceWeb Application Firewall (WAF) should use the specified mode for Azure Front Door Service Hiermee wordt machtiging verleend dat de modus Detectie of Preventie actief is voor alle Web Application Firewall-beleidsregels voor Azure Front Door Service.Mandates the use of 'Detection' or 'Prevention' mode to be active on all Web Application Firewall policies for Azure Front Door Service. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Wijzigingen in organisatiesystemen bijhouden, controleren, goedkeuren of afkeuren.Track, review, approve or disapprove, and log changes to organizational systems.

Id: CmMC L3 CM.2.065 Eigendom: GedeeldID: CMMC L3 CM.2.065 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingenAn activity log alert should exist for specific Administrative operations Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Administrative operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingenAn activity log alert should exist for specific Policy operations Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Policy operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingenAn activity log alert should exist for specific Security operations Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Security operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Azure Monitor moet activiteitenlogboeken uit alle regio's verzamelenAzure Monitor should collect activity logs from all regions Met dit beleid wordt het Azure Monitor-logboekprofiel gecontroleerd waarbij geen activiteiten worden geëxporteerd uit alle door Azure ondersteunde regio's, inclusief wereldwijd.This policy audits the Azure Monitor log profile which does not export activities from all Azure supported regions including global. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Azure-abonnementen moeten een logboekprofiel voor het activiteitenlogboek hebbenAzure subscriptions should have a log profile for Activity Log Dit beleid zorgt ervoor dat een logboekprofiel is ingeschakeld voor het exporteren van activiteitenlogboeken.This policy ensures if a log profile is enabled for exporting activity logs. Het controleert of er een logboekprofiel is gemaakt om de logboeken te exporteren naar een opslagaccount of een Event Hub.It audits if there is no log profile created to export the logs either to a storage account or to an event hub. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Beleidswijziging'Windows machines should meet requirements for 'System Audit Policies - Policy Change' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Beleidswijziging voor het controleren van wijzigingen in systeemcontrolebeleidsregels.Windows machines should have the specified Group Policy settings in the category 'System Audit Policies - Policy Change' for auditing changes to system audit policies. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Het gebruik van niet-essentiële programma's, functies, poorten, protocollen en services beperken, uitschakelen of voorkomen.Restrict, disable, or prevent the use of nonessential programs, functions, ports, protocols, and services.

Id: CmMC L3 CM.3.068 Eigendom: GedeeldID: CMMC L3 CM.3.068 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computersAdaptive application controls for defining safe applications should be enabled on your machines Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd.Enable application controls to define the list of known-safe applications running on your machines, and alert you when other applications run. Dit helpt uw computers te beschermen tegen schadelijke software.This helps harden your machines against malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.To simplify the process of configuring and maintaining your rules, Security Center uses machine learning to analyze the applications running on each machine and suggest the list of known-safe applications. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gerichtAdaptive network hardening recommendations should be applied on internet facing virtual machines Azure Security Center analyseert de verkeerspatronen van virtuele machines die vanaf het internet toegankelijk zijn, en formuleert aanbevelingen voor regels voor de netwerkbeveiligingsgroep die de kans op aanvallen beperkenAzure Security Center analyzes the traffic patterns of Internet facing virtual machines and provides Network Security Group rule recommendations that reduce the potential attack surface AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machineAll network ports should be restricted on network security groups associated to your virtual machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd.Azure Security Center has identified some of your network security groups' inbound rules to be too permissive. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’.Inbound rules should not allow access from 'Any' or 'Internet' ranges. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen.This can potentially enable attackers to target your resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerktAllowlist rules in your adaptive application control policy should be updated Controleer op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Azure Security Center.Monitor for changes in behavior on groups of machines configured for auditing by Azure Security Center's adaptive application controls. Security Center gebruikt machine learning voor het analyseren van de processen die worden uitgevoerd op uw computers en stelt een lijst voor met bekende veilige toepassingen.Security Center uses machine learning to analyze the running processes on your machines and suggest a list of known-safe applications. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars.These are presented as recommended apps to allow in adaptive application control policies. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Cognitive Services accounts moeten openbare netwerktoegang uitschakelenCognitive Services accounts should disable public network access Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen Cognitive Services account niet wordt blootgesteld op het openbare internet.Disabling public network access improves security by ensuring that Cognitive Services account isn't exposed on the public internet. Het maken van privé-eindpunten kan de blootstelling van een Cognitive Services beperken.Creating private endpoints can limit exposure of Cognitive Services account. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2129800.Learn more at: https://go.microsoft.com/fwlink/?linkid=2129800. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.11.0.1
Voor Cognitive Services-accounts moet de netwerktoegang zijn beperktCognitive Services accounts should restrict network access Netwerktoegang tot Cognitive Services-accounts moet zijn beperkt.Network access to Cognitive Services accounts should be restricted. Configureer netwerkregels zodat alleen toepassingen van toegestane netwerken toegang hebben tot het Cognitive Services-account.Configure network rules so only applications from allowed networks can access the Cognitive Services account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet.To allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Containerregisters mogen geen onbeperkte netwerktoegang toestaanContainer registries should not allow unrestricted network access Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk.Azure container registries by default accept connections over the internet from hosts on any network. Als u uw registers tegen mogelijke dreigingen wilt beveiligen, moet u alleen toegang vanaf specifieke openbare IP-adressen of adresbereiken toestaan.To protect your registries from potential threats, allow access from only specific public IP addresses or address ranges. Als uw register geen IP/firewallregel of een geconfigureerd virtueel netwerk heeft, wordt het in de beschadigde resources weergegeven.If your registry doesn't have an IP/firewall rule or a configured virtual network, it will appear in the unhealthy resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/portal/public-network en hier https://aka.ms/acr/vnet.Learn more about Container Registry network rules here: https://aka.ms/acr/portal/public-network and here https://aka.ms/acr/vnet. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
CORS mag er niet toe leiden dat elk domein toegang tot uw API voor FHIR heeftCORS should not allow every domain to access your API for FHIR Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw API voor FHIR.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your API for FHIR. Als u uw API voor FHIR wilt beveiligen, verwijdert u de toegang voor alle domeinen en definieert u de domeinen die zijn toegestaan om verbinding te maken.To protect your API for FHIR, remove access for all domains and explicitly define the domains allowed to connect. controle, uitgeschakeldaudit, disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang tot uw API-app heeftCORS should not allow every resource to access your API App Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw API-app.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your API app. Sta alleen de vereiste domeinen toe om met uw API-app te communiceren.Allow only required domains to interact with your API app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw Function-appsCORS should not allow every resource to access your Function Apps Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your Function app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren.Allow only required domains to interact with your Function app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw webtoepassingenCORS should not allow every resource to access your Web Applications Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw webtoepassing.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your web application. Sta alleen de vereiste domeinen toe om met uw web-app te communiceren.Allow only required domains to interact with your web app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepenInternet-facing virtual machines should be protected with network security groups Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your virtual machines from potential threats by restricting access to them with network security groups (NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-docLearn more about controlling traffic with NSGs at https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken)Kubernetes cluster pods should only use approved host network and port range Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster.Restrict pod access to the host network and the allowable host port range in a Kubernetes cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4, dat is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren.This recommendation is part of CIS 5.2.4 which is intended to improve the security of your Kubernetes environments. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS), en als preview voor AKS Engine en Kubernetes met Azure Arc.This policy is generally available for Kubernetes Service (AKS), and preview for AKS Engine and Azure Arc enabled Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie.For more information, see https://aka.ms/kubepolicydoc. controleren, weigeren, uitgeschakeldaudit, deny, disabled 3.0.03.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheerManagement ports of virtual machines should be protected with just-in-time network access control Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security CenterPossible network Just In Time (JIT) access will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepenNon-internet-facing virtual machines should be protected with network security groups Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your non-internet-facing virtual machines from potential threats by restricting access with network security groups (NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-docLearn more about controlling traffic with NSGs at https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeldPublic network access on Azure SQL Database should be disabled Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure SQL Database can only be accessed from a private endpoint. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk.This configuration denies all logins that match IP or virtual network based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-serversPublic network access should be disabled for MariaDB servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MariaDB alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for MariaDB can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd.This configuration strictly disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele MySQL-serversPublic network access should be disabled for MySQL flexible servers Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for MySQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure Database for MySQL flexible servers can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration strictly disables access from any public address space outside of Azure IP range and denies all logins that match IP or virtual network-based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-serversPublic network access should be disabled for MySQL servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for MySQL can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd.This configuration strictly disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele PostgreSQL-serversPublic network access should be disabled for PostgreSQL flexible servers Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for PostgreSQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure Database for PostgreSQL flexible servers can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration strictly disables access from any public address space outside of Azure IP range and denies all logins that match IP or virtual network-based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-serversPublic network access should be disabled for PostgreSQL servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for PostgreSQL can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Externe foutopsporing moet worden uitgeschakeld voor API-appsRemote debugging should be turned off for API Apps Voor externe foutopsporing moeten binnenkomende poorten worden geopend op API-apps.Remote debugging requires inbound ports to be opened on API apps. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Externe foutopsporing moet worden uitgeschakeld voor Function-appsRemote debugging should be turned off for Function Apps Voor externe foutopsporing moeten binnenkomende poorten worden geopend op Function-apps.Remote debugging requires inbound ports to be opened on function apps. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Externe foutopsporing moet worden uitgeschakeld voor webtoepassingenRemote debugging should be turned off for Web Applications Voor externe foutopsporing moeten binnenkomende poorten worden geopend op een webtoepassing.Remote debugging requires inbound ports to be opened on a web application. Externe foutopsporing moet worden uitgeschakeld.Remote debugging should be turned off. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Openbare toegang tot een opslagaccount moet niet worden toegestaanStorage account public access should be disallowed Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren.Anonymous public read access to containers and blobs in Azure Storage is a convenient way to share data but might present security risks. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario.To prevent data breaches caused by undesired anonymous access, Microsoft recommends preventing public access to a storage account unless your scenario requires it. controleren, weigeren, uitgeschakeldaudit, deny, disabled 2.0.1-preview2.0.1-preview
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan IP-adresbereiken van openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Subnets moeten worden gekoppeld aan een netwerkbeveiligingsgroepSubnets should be associated with a Network Security Group Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your subnet from potential threats by restricting access to it with a Network Security Group (NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd.NSGs contain a list of Access Control List (ACL) rules that allow or deny network traffic to your subnet. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Het beleid deny-by-exception (op de zwarte lijst plaatsen) toepassen om het gebruik van niet-geautoriseerde software te voorkomen, of het beleid deny-all, permit-by-exception (in de toegestane lijst opnemen) toepassen om het uitvoeren van geautoriseerde software toe te staan.Apply deny-by-exception (blacklisting) policy to prevent the use of unauthorized software or deny-all, permit-by-exception (whitelisting) policy to allow the execution of authorized software.

Id: CmMC L3 CM.3.069 Eigendom: GedeeldID: CMMC L3 CM.3.069 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computersAdaptive application controls for defining safe applications should be enabled on your machines Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd.Enable application controls to define the list of known-safe applications running on your machines, and alert you when other applications run. Dit helpt uw computers te beschermen tegen schadelijke software.This helps harden your machines against malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.To simplify the process of configuring and maintaining your rules, Security Center uses machine learning to analyze the applications running on each machine and suggest the list of known-safe applications. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Identificatie en verificatieIdentification and Authentication

Verifieer (of verifieer) de identiteiten van deze gebruikers, processen of apparaten als een vereiste om toegang tot organisatiegegevenssystemen toe te staan.Authenticate (or verify) the identities of those users, processes, or devices, as a prerequisite to allowing access to organizational information systems.

Id: CmMC L3 IA.1.077 Eigendom: GedeeldID: CMMC L3 IA.1.077 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteldAudit Linux machines that do not have the passwd file permissions set to 0644 Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines zijn voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebbenMachines are non-compliant if Linux machines that do not have the passwd file permissions set to 0644 AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Linux-machines controleren met accounts zonder wachtwoordenAudit Linux machines that have accounts without passwords Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoordenMachines are non-compliant if Linux machines that have accounts without passwords AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor uw abonnementMFA should be enabled accounts with write permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with write privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnementMFA should be enabled on accounts with owner permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with owner permissions to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnementMFA should be enabled on accounts with read permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with read privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Dwing minimale wachtwoordcomplexiteit en wijziging van tekens af wanneer er nieuwe wachtwoorden worden gemaakt.Enforce a minimum password complexity and change of characters when new passwords are created.

Id: Eigendom van CMMC L3 IA.2.078: Gedeeld ID: CMMC L3 IA.2.078 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Linux-machines controleren met accounts zonder wachtwoordenAudit Linux machines that have accounts without passwords Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoordenMachines are non-compliant if Linux machines that have accounts without passwords AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Windows-machines controleren waarop de instelling voor wachtwoordcomplexiteit niet is ingeschakeldAudit Windows machines that do not have the password complexity setting enabled Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines de instelling voor wachtwoordcomplexiteit niet hebben ingeschakeldMachines are non-compliant if Windows machines that do not have the password complexity setting enabled AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Windows-machines controleren waarvoor de minimale wachtwoordlengte niet wordt beperkt tot 14 tekensAudit Windows machines that do not restrict the minimum password length to 14 characters Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines de minimale wachtwoordlengte niet beperken tot 14 tekensMachines are non-compliant if Windows machines that do not restrict the minimum password length to 14 characters AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Hergebruik van wachtwoorden voor een opgegeven aantal generaties verbieden.Prohibit password reuse for a specified number of generations.

Id: CmMC L3 IA.2.079 Eigendom: GedeeldID: CMMC L3 IA.2.079 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Windows-machines controleren waarvoor de voorgaande 24 wachtwoorden opnieuw kunnen worden gebruiktAudit Windows machines that allow re-use of the previous 24 passwords Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines de voorgaande 24 wachtwoorden opnieuw kunnen gebruikenMachines are non-compliant if Windows machines that allow re-use of the previous 24 passwords AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Alleen cryptografisch beveiligde wachtwoorden opslaan en verzenden.Store and transmit only cryptographically-protected passwords.

Id: Eigendom van CMMC L3 IA.2.081: Gedeeld ID: CMMC L3 IA.2.081 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleutelingAudit Windows machines that do not store passwords using reversible encryption Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleutelingMachines are non-compliant if Windows machines that do not store passwords using reversible encryption AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Meervoudige verificatie gebruiken voor lokale en netwerktoegang tot bevoegde accounts en voor netwerktoegang tot niet-bevoegde accounts.Use multifactor authentication for local and network access to privileged accounts and for network access to non-privileged accounts.

Id: CmMC L3 IA.3.083 Eigendom: GedeeldID: CMMC L3 IA.3.083 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor uw abonnementMFA should be enabled accounts with write permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with write privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnementMFA should be enabled on accounts with owner permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with owner permissions to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnementMFA should be enabled on accounts with read permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with read privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Gebruik verificatiemechanismen die bestand zijn tegen opnieuw afspelen voor netwerktoegang tot bevoegde en niet-bevoegde accounts.Employ replay-resistant authentication mechanisms for network access to privileged and nonprivileged accounts.

Id: CmMC L3 IA.3.084 Eigendom: GedeeldID: CMMC L3 IA.3.084 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
API-app mag alleen toegankelijk zijn via HTTPSAPI App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Function-app mag alleen toegankelijk zijn via HTTPSFunction App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw API-appLatest TLS version should be used in your API App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw Function-appLatest TLS version should be used in your Function App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw web-appLatest TLS version should be used in your Web App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor uw abonnementMFA should be enabled accounts with write permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with write privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnementMFA should be enabled on accounts with owner permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with owner permissions to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnementMFA should be enabled on accounts with read permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with read privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Webtoepassing mag alleen toegankelijk zijn via HTTPSWeb Application should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Windows-webservers moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollenWindows web servers should be configured to use secure communication protocols Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw webservers gebruikmaken van de nieuwste versie van het industriestandaard cryptografieprotocol, Transport Layer Security (TLS).To protect the privacy of information communicated over the Internet, your web servers should use the latest version of the industry-standard cryptographic protocol, Transport Layer Security (TLS). TLS beveiligt communicatie via een netwerk met behulp van beveiligingscertificaten om een verbinding tussen computers te versleutelen.TLS secures communications over a network by using security certificates to encrypt a connection between machines. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.1.02.1.0

Reageren op incidentenIncident Response

Stel een operationele mogelijkheid voor incidentafhandeling in voor organisatiesystemen, waaronder voorbereidings-, detectie-, analyse-, containment-, herstel- en reactieactiviteiten van gebruikers.Establish an operational incident-handling capability for organizational systems that includes preparation, detection, analysis, containment, recovery, and user response activities.

Id: CmMC L3 IR.2.092 Eigendom: GedeeldID: CMMC L3 IR.2.092 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeldEmail notification for high severity alerts should be enabled Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center.To ensure the relevant people in your organization are notified when there is a potential security breach in one of your subscriptions, enable email notifications for high severity alerts in Security Center. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeldEmail notification to subscription owner for high severity alerts should be enabled Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center.To ensure your subscription owners are notified when there is a potential security breach in their subscription, set email notifications to subscription owners for high severity alerts in Security Center. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevattenSubscriptions should have a contact email address for security issues Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt.To ensure the relevant people in your organization are notified when there is a potential security breach in one of your subscriptions, set a security contact to receive email notifications from Security Center. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
De instellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapportenVulnerability Assessment settings for SQL server should contain an email address to receive scan reports Zorg ervoor dat er een e-mailadres is ingesteld voor het veld Scanrapporten verzenden naar in de Instellingen voor evaluatie van beveiligingsproblemen.Ensure that an email address is provided for the 'Send scan reports to' field in the Vulnerability Assessment settings. Dit e-mailadres ontvangt een samenvatting van scanresultaten wanneer een periodieke scan wordt uitgevoerd op SQL-servers.This email address receives scan result summary after a periodic scan runs on SQL servers. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Gebeurtenissen detecteren en rapporteren.Detect and report events.

Id: Eigendom van CMMC L3 IR.2.093: Gedeeld ID: CMMC L3 IR.2.093 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Alle internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure FirewallAll Internet traffic should be routed via your deployed Azure Firewall Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie.Azure Security Center has identified that some of your subnets aren't protected with a next generation firewall. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatieProtect your subnets from potential threats by restricting access to them with Azure Firewall or a supported next generation firewall AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.0-preview3.0.0-preview
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingenAn activity log alert should exist for specific Security operations Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.This policy audits specific Security operations with no activity log alerts configured. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Azure Defender voor App Service moet zijn ingeschakeldAzure Defender for App Service should be enabled Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps.Azure Defender for App Service leverages the scale of the cloud, and the visibility that Azure has as a cloud provider, to monitor for common web app attacks. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeldAzure Defender for Azure SQL Database servers should be enabled Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.Azure Defender for SQL provides functionality for surfacing and mitigating potential database vulnerabilities, detecting anomalous activities that could indicate threats to SQL databases, and discovering and classifying sensitive data. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Azure Defender voor containerregisters moet zijn ingeschakeldAzure Defender for container registries should be enabled Azure Defender voor containerregisters biedt een functie voor het scannen op beveiligingsproblemen met installatiekopieën die in de afgelopen 30 dagen zijn opgehaald, naar uw register zijn gepusht of geïmporteerd, en geeft gedetailleerde resultaten per installatiekopie weer.Azure Defender for container registries provides vulnerability scanning of any images pulled within the last 30 days, pushed to your registry, or imported, and exposes detailed findings per image. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Key Vault moet zijn ingeschakeldAzure Defender for Key Vault should be enabled Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts.Azure Defender for Key Vault provides an additional layer of protection and security intelligence by detecting unusual and potentially harmful attempts to access or exploit key vault accounts. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Kubernetes moet zijn ingeschakeldAzure Defender for Kubernetes should be enabled Azure Defender voor Kubernetes biedt realtime-beveiliging tegen bedreigingen voor in containers geplaatste omgevingen. Ook worden waarschuwingen voor verdachte activiteiten gegenereerd.Azure Defender for Kubernetes provides real-time threat protection for containerized environments and generates alerts for suspicious activities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor servers moet zijn ingeschakeldAzure Defender for servers should be enabled Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd.Azure Defender for servers provides real-time threat protection for server workloads and generates hardening recommendations as well as alerts about suspicious activities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeldAzure Defender for SQL servers on machines should be enabled Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.Azure Defender for SQL provides functionality for surfacing and mitigating potential database vulnerabilities, detecting anomalous activities that could indicate threats to SQL databases, and discovering and classifying sensitive data. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Azure Defender voor opslag moet zijn ingeschakeldAzure Defender for Storage should be enabled Azure Defender voor opslag biedt functionaliteit voor het detecteren van ongebruikelijke en mogelijk schadelijke pogingen om toegang te verkrijgen tot of aanvallen op opslagaccounts.Azure Defender for Storage provides detections of unusual and potentially harmful attempts to access or exploit storage accounts. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Key Vault moet openbare netwerktoegang uitschakelenAzure Key Vault should disable public network access Schakel openbare netwerktoegang voor uw sleutelkluis uit zodat deze niet toegankelijk is via het openbare internet.Disable public network access for your key vault so that it's not accessible over the public internet. Dit kan het risico op gegevenslekken verminderen.This can reduce data leakage risks. Zie voor meer informatie: https://aka.ms/akvprivatelink.Learn more at: https://aka.ms/akvprivatelink. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.0-preview1.1.0-preview
Advanced Threat Protection implementeren voor Cosmos DB-accountsDeploy Advanced Threat Protection for Cosmos DB Accounts Met dit beleid schakelt u Advanced Threat Protection in voor alle Cosmos DB-accounts.This policy enables Advanced Threat Protection across Cosmos DB accounts. DeployIfNotExists, uitgeschakeldDeployIfNotExists, Disabled 1.0.01.0.0
Advanced Threat Protection implementeren voor opslagaccountsDeploy Advanced Threat Protection on storage accounts Met dit beleid schakelt u Advanced Threat Protection in voor opslagaccounts.This policy enables Advanced Threat Protection on storage accounts. DeployIfNotExists, uitgeschakeldDeployIfNotExists, Disabled 1.0.01.0.0
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeldEmail notification for high severity alerts should be enabled Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center.To ensure the relevant people in your organization are notified when there is a potential security breach in one of your subscriptions, enable email notifications for high severity alerts in Security Center. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Stroomlogboeken moeten worden geconfigureerd voor elke netwerkbeveiligingsgroepFlow logs should be configured for every network security group Controleer op netwerkbeveiligingsgroepen om te controleren of stroomlogboeken zijn geconfigureerd.Audit for network security groups to verify if flow logs are configured. Als u stroomlogboeken inschakelen, kunt u informatie over IP-verkeer dat via de netwerkbeveiligingsgroep stroomt, in een logboek opslaan.Enabling flow logs allows to log information about IP traffic flowing through network security group. Het kan worden gebruikt voor het optimaliseren van netwerkstromen, het controleren van de doorvoer, het controleren van de naleving, het detecteren van inbraakpogingen en meer.It can be used for optimizing network flows, monitoring throughput, verifying compliance, detecting intrusions and more. Controle, uitgeschakeldAudit, Disabled 1.1.01.1.0
Ontbrekende eindpuntbeveiliging bewaken in Azure Security CenterMonitor missing Endpoint Protection in Azure Security Center Servers zonder geïnstalleerde agent voor eindpuntbeveiliging worden als aanbevelingen bewaakt door Azure Security CenterServers without an installed Endpoint Protection agent will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application GatewayWeb Application Firewall (WAF) should be enabled for Application Gateway Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer.Deploy Azure Web Application Firewall (WAF) in front of public facing web applications for additional inspection of incoming traffic. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen.Web Application Firewall (WAF) provides centralized protection of your web applications from common exploits and vulnerabilities such as SQL injections, Cross-Site Scripting, local and remote file executions. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels.You can also restrict access to your web applications by countries, IP address ranges, and other http(s) parameters via custom rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.11.0.1
Web Application Firewall (WAF) moet zijn ingeschakeld voor Azure Front Door Service serviceWeb Application Firewall (WAF) should be enabled for Azure Front Door Service service Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer.Deploy Azure Web Application Firewall (WAF) in front of public facing web applications for additional inspection of incoming traffic. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen.Web Application Firewall (WAF) provides centralized protection of your web applications from common exploits and vulnerabilities such as SQL injections, Cross-Site Scripting, local and remote file executions. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels.You can also restrict access to your web applications by countries, IP address ranges, and other http(s) parameters via custom rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.11.0.1
Web Application Firewall (WAF) moet de opgegeven modus gebruiken voor Application GatewayWeb Application Firewall (WAF) should use the specified mode for Application Gateway Hiermee wordt machtiging verleend dat de modus Detectie of Preventie actief is voor alle Web Application Firewall-beleidsregels voor Application Gateway.Mandates the use of 'Detection' or 'Prevention' mode to be active on all Web Application Firewall policies for Application Gateway. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Web Application Firewall (WAF) moet de opgegeven modus gebruiken voor Azure Front Door ServiceWeb Application Firewall (WAF) should use the specified mode for Azure Front Door Service Hiermee wordt machtiging verleend dat de modus Detectie of Preventie actief is voor alle Web Application Firewall-beleidsregels voor Azure Front Door Service.Mandates the use of 'Detection' or 'Prevention' mode to be active on all Web Application Firewall policies for Azure Front Door Service. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0

HerstelRecovery

Regelmatig back-ups van gegevens uitvoeren en testen.Regularly perform and test data back-ups.

Id: CMMC L3 RE.2.137 Eigendom: KlantID: CMMC L3 RE.2.137 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Virtuele machines controleren waarop geen herstel na noodgevallen is geconfigureerdAudit virtual machines without disaster recovery configured Controleer virtuele machines waarop herstel na noodgevallen niet is geconfigureerd.Audit virtual machines which do not have disaster recovery configured. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen.To learn more about disaster recovery, visit https://aka.ms/asr-doc. auditIfNotExistsauditIfNotExists 1.0.01.0.0
Azure Backup moet zijn ingeschakeld voor virtuele machinesAzure Backup should be enabled for Virtual Machines Zorg ervoor dat uw Azure-VM's worden beveiligd door Azure Backup in te schakelen.Ensure protection of your Azure Virtual Machines by enabling Azure Backup. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure.Azure Backup is a secure and cost effective data protection solution for Azure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDBGeo-redundant backup should be enabled for Azure Database for MariaDB Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen.Azure Database for MariaDB allows you to choose the redundancy option for your database server. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio.It can be set to a geo-redundant backup storage in which the data is not only stored within the region in which your server is hosted, but is also replicated to a paired region to provide recovery option in case of a region failure. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.Configuring geo-redundant storage for backup is only allowed during server create. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQLGeo-redundant backup should be enabled for Azure Database for MySQL Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen.Azure Database for MySQL allows you to choose the redundancy option for your database server. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio.It can be set to a geo-redundant backup storage in which the data is not only stored within the region in which your server is hosted, but is also replicated to a paired region to provide recovery option in case of a region failure. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.Configuring geo-redundant storage for backup is only allowed during server create. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQLGeo-redundant backup should be enabled for Azure Database for PostgreSQL Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen.Azure Database for PostgreSQL allows you to choose the redundancy option for your database server. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio.It can be set to a geo-redundant backup storage in which the data is not only stored within the region in which your server is hosted, but is also replicated to a paired region to provide recovery option in case of a region failure. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.Configuring geo-redundant storage for backup is only allowed during server create. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Geografisch redundante back-up op de lange termijn moet zijn ingeschakeld voor Azure SQL DatabasesLong-term geo-redundant backup should be enabled for Azure SQL Databases Dit beleid controleert alle Azure SQL Databases waarop een geografisch redundante back-up op lange termijn niet is ingeschakeld.This policy audits any Azure SQL Database with long-term geo-redundant backup not enabled. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Voer regelmatig volledige, uitgebreide en flexibele gegevensback-ups uit zoals door de organisatie gedefinieerd.Regularly perform complete, comprehensive and resilient data backups as organizationally-defined.

Id: CMMC L3 RE.3.139 Eigendom: KlantID: CMMC L3 RE.3.139 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Virtuele machines controleren waarop geen herstel na noodgevallen is geconfigureerdAudit virtual machines without disaster recovery configured Controleer virtuele machines waarop herstel na noodgevallen niet is geconfigureerd.Audit virtual machines which do not have disaster recovery configured. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen.To learn more about disaster recovery, visit https://aka.ms/asr-doc. auditIfNotExistsauditIfNotExists 1.0.01.0.0
Azure Backup moet zijn ingeschakeld voor virtuele machinesAzure Backup should be enabled for Virtual Machines Zorg ervoor dat uw Azure-VM's worden beveiligd door Azure Backup in te schakelen.Ensure protection of your Azure Virtual Machines by enabling Azure Backup. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure.Azure Backup is a secure and cost effective data protection solution for Azure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDBGeo-redundant backup should be enabled for Azure Database for MariaDB Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen.Azure Database for MariaDB allows you to choose the redundancy option for your database server. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio.It can be set to a geo-redundant backup storage in which the data is not only stored within the region in which your server is hosted, but is also replicated to a paired region to provide recovery option in case of a region failure. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.Configuring geo-redundant storage for backup is only allowed during server create. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQLGeo-redundant backup should be enabled for Azure Database for MySQL Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen.Azure Database for MySQL allows you to choose the redundancy option for your database server. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio.It can be set to a geo-redundant backup storage in which the data is not only stored within the region in which your server is hosted, but is also replicated to a paired region to provide recovery option in case of a region failure. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.Configuring geo-redundant storage for backup is only allowed during server create. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQLGeo-redundant backup should be enabled for Azure Database for PostgreSQL Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen.Azure Database for PostgreSQL allows you to choose the redundancy option for your database server. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio.It can be set to a geo-redundant backup storage in which the data is not only stored within the region in which your server is hosted, but is also replicated to a paired region to provide recovery option in case of a region failure. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server.Configuring geo-redundant storage for backup is only allowed during server create. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Geografisch redundante back-up op de lange termijn moet zijn ingeschakeld voor Azure SQL DatabasesLong-term geo-redundant backup should be enabled for Azure SQL Databases Dit beleid controleert alle Azure SQL Databases waarop een geografisch redundante back-up op lange termijn niet is ingeschakeld.This policy audits any Azure SQL Database with long-term geo-redundant backup not enabled. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Risico-evaluatieRisk Assessment

Evalueer periodiek het risico voor organisatiebewerkingen (waaronder missie, functies, afbeelding of reputatie), organisatie-assets en personen, als gevolg van de werking van organisatiesystemen en de bijbehorende verwerking, opslag of verzending van CUI.Periodically assess the risk to organizational operations (including mission, functions, image, or reputation), organizational assets, and individuals, resulting from the operation of organizational systems and the associated processing, storage, or transmission of CUI.

Id: CmMC L3 RM.2.141 Eigendom: GedeeldID: CMMC L3 RM.2.141 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)A vulnerability assessment solution should be enabled on your virtual machines Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd.Audits virtual machines to detect whether they are running a supported vulnerability assessment solution. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen.A core component of every cyber risk and security program is the identification and analysis of vulnerabilities. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten.Azure Security Center's standard pricing tier includes vulnerability scanning for your virtual machines at no extra cost. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd.Additionally, Security Center can automatically deploy this tool for you. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Azure Defender voor App Service moet zijn ingeschakeldAzure Defender for App Service should be enabled Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps.Azure Defender for App Service leverages the scale of the cloud, and the visibility that Azure has as a cloud provider, to monitor for common web app attacks. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeldAzure Defender for Azure SQL Database servers should be enabled Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.Azure Defender for SQL provides functionality for surfacing and mitigating potential database vulnerabilities, detecting anomalous activities that could indicate threats to SQL databases, and discovering and classifying sensitive data. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Azure Defender voor containerregisters moet zijn ingeschakeldAzure Defender for container registries should be enabled Azure Defender voor containerregisters biedt een functie voor het scannen op beveiligingsproblemen met installatiekopieën die in de afgelopen 30 dagen zijn opgehaald, naar uw register zijn gepusht of geïmporteerd, en geeft gedetailleerde resultaten per installatiekopie weer.Azure Defender for container registries provides vulnerability scanning of any images pulled within the last 30 days, pushed to your registry, or imported, and exposes detailed findings per image. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Key Vault moet zijn ingeschakeldAzure Defender for Key Vault should be enabled Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts.Azure Defender for Key Vault provides an additional layer of protection and security intelligence by detecting unusual and potentially harmful attempts to access or exploit key vault accounts. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Kubernetes moet zijn ingeschakeldAzure Defender for Kubernetes should be enabled Azure Defender voor Kubernetes biedt realtime-beveiliging tegen bedreigingen voor in containers geplaatste omgevingen. Ook worden waarschuwingen voor verdachte activiteiten gegenereerd.Azure Defender for Kubernetes provides real-time threat protection for containerized environments and generates alerts for suspicious activities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor servers moet zijn ingeschakeldAzure Defender for servers should be enabled Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd.Azure Defender for servers provides real-time threat protection for server workloads and generates hardening recommendations as well as alerts about suspicious activities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeldAzure Defender for SQL servers on machines should be enabled Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.Azure Defender for SQL provides functionality for surfacing and mitigating potential database vulnerabilities, detecting anomalous activities that could indicate threats to SQL databases, and discovering and classifying sensitive data. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Azure Defender voor opslag moet zijn ingeschakeldAzure Defender for Storage should be enabled Azure Defender voor opslag biedt functionaliteit voor het detecteren van ongebruikelijke en mogelijk schadelijke pogingen om toegang te verkrijgen tot of aanvallen op opslagaccounts.Azure Defender for Storage provides detections of unusual and potentially harmful attempts to access or exploit storage accounts. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
De prijscategorie Standard voor Security Center moet zijn geselecteerdSecurity Center standard pricing tier should be selected De prijscategorie Standard voorziet in detectie van bedreigingen voor netwerken en virtuele machines en biedt bedreigingsinformatie, anomaliedetectie en gedragsanalyse in Azure Security CenterThe standard pricing tier enables threat detection for networks and virtual machines, providing threat intelligence, anomaly detection, and behavior analytics in Azure Security Center Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
De instellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapportenVulnerability Assessment settings for SQL server should contain an email address to receive scan reports Zorg ervoor dat er een e-mailadres is ingesteld voor het veld Scanrapporten verzenden naar in de Instellingen voor evaluatie van beveiligingsproblemen.Ensure that an email address is provided for the 'Send scan reports to' field in the Vulnerability Assessment settings. Dit e-mailadres ontvangt een samenvatting van scanresultaten wanneer een periodieke scan wordt uitgevoerd op SQL-servers.This email address receives scan result summary after a periodic scan runs on SQL servers. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed InstanceVulnerability assessment should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld.Audit each SQL Managed Instance which doesn't have recurring vulnerability assessment scans enabled. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.Vulnerability assessment can discover, track, and help you remediate potential database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-serversVulnerability assessment should be enabled on your SQL servers Controleer Azure SQL-servers waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld.Audit Azure SQL servers which do not have recurring vulnerability assessment scans enabled. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.Vulnerability assessment can discover, track, and help you remediate potential database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Regelmatig scannen op beveiligingsproblemen in organisatiesystemen en toepassingen en wanneer er nieuwe beveiligingsproblemen worden geïdentificeerd die van invloed zijn op die systemen en toepassingen.Scan for vulnerabilities in organizational systems and applications periodically and when new vulnerabilities affecting those systems and applications are identified.

Id: CmMC L3 RM.2.142 Eigendom: GedeeldID: CMMC L3 RM.2.142 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)A vulnerability assessment solution should be enabled on your virtual machines Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd.Audits virtual machines to detect whether they are running a supported vulnerability assessment solution. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen.A core component of every cyber risk and security program is the identification and analysis of vulnerabilities. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten.Azure Security Center's standard pricing tier includes vulnerability scanning for your virtual machines at no extra cost. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd.Additionally, Security Center can automatically deploy this tool for you. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Azure Defender voor App Service moet zijn ingeschakeldAzure Defender for App Service should be enabled Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps.Azure Defender for App Service leverages the scale of the cloud, and the visibility that Azure has as a cloud provider, to monitor for common web app attacks. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeldAzure Defender for Azure SQL Database servers should be enabled Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.Azure Defender for SQL provides functionality for surfacing and mitigating potential database vulnerabilities, detecting anomalous activities that could indicate threats to SQL databases, and discovering and classifying sensitive data. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Azure Defender voor containerregisters moet zijn ingeschakeldAzure Defender for container registries should be enabled Azure Defender voor containerregisters biedt een functie voor het scannen op beveiligingsproblemen met installatiekopieën die in de afgelopen 30 dagen zijn opgehaald, naar uw register zijn gepusht of geïmporteerd, en geeft gedetailleerde resultaten per installatiekopie weer.Azure Defender for container registries provides vulnerability scanning of any images pulled within the last 30 days, pushed to your registry, or imported, and exposes detailed findings per image. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Key Vault moet zijn ingeschakeldAzure Defender for Key Vault should be enabled Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts.Azure Defender for Key Vault provides an additional layer of protection and security intelligence by detecting unusual and potentially harmful attempts to access or exploit key vault accounts. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Kubernetes moet zijn ingeschakeldAzure Defender for Kubernetes should be enabled Azure Defender voor Kubernetes biedt realtime-beveiliging tegen bedreigingen voor in containers geplaatste omgevingen. Ook worden waarschuwingen voor verdachte activiteiten gegenereerd.Azure Defender for Kubernetes provides real-time threat protection for containerized environments and generates alerts for suspicious activities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor servers moet zijn ingeschakeldAzure Defender for servers should be enabled Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd.Azure Defender for servers provides real-time threat protection for server workloads and generates hardening recommendations as well as alerts about suspicious activities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeldAzure Defender for SQL servers on machines should be enabled Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.Azure Defender for SQL provides functionality for surfacing and mitigating potential database vulnerabilities, detecting anomalous activities that could indicate threats to SQL databases, and discovering and classifying sensitive data. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Azure Defender voor opslag moet zijn ingeschakeldAzure Defender for Storage should be enabled Azure Defender voor opslag biedt functionaliteit voor het detecteren van ongebruikelijke en mogelijk schadelijke pogingen om toegang te verkrijgen tot of aanvallen op opslagaccounts.Azure Defender for Storage provides detections of unusual and potentially harmful attempts to access or exploit storage accounts. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
De prijscategorie Standard voor Security Center moet zijn geselecteerdSecurity Center standard pricing tier should be selected De prijscategorie Standard voorziet in detectie van bedreigingen voor netwerken en virtuele machines en biedt bedreigingsinformatie, anomaliedetectie en gedragsanalyse in Azure Security CenterThe standard pricing tier enables threat detection for networks and virtual machines, providing threat intelligence, anomaly detection, and behavior analytics in Azure Security Center Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
De instellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapportenVulnerability Assessment settings for SQL server should contain an email address to receive scan reports Zorg ervoor dat er een e-mailadres is ingesteld voor het veld Scanrapporten verzenden naar in de Instellingen voor evaluatie van beveiligingsproblemen.Ensure that an email address is provided for the 'Send scan reports to' field in the Vulnerability Assessment settings. Dit e-mailadres ontvangt een samenvatting van scanresultaten wanneer een periodieke scan wordt uitgevoerd op SQL-servers.This email address receives scan result summary after a periodic scan runs on SQL servers. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed InstanceVulnerability assessment should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld.Audit each SQL Managed Instance which doesn't have recurring vulnerability assessment scans enabled. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.Vulnerability assessment can discover, track, and help you remediate potential database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-serversVulnerability assessment should be enabled on your SQL servers Controleer Azure SQL-servers waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld.Audit Azure SQL servers which do not have recurring vulnerability assessment scans enabled. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.Vulnerability assessment can discover, track, and help you remediate potential database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Beveiligingsproblemen verhelpen in overeenstemming met risicoanalyses.Remediate vulnerabilities in accordance with risk assessments.

Id: CmMC L3 RM.2.143 Eigendom: GedeeldID: CMMC L3 RM.2.143 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)A vulnerability assessment solution should be enabled on your virtual machines Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd.Audits virtual machines to detect whether they are running a supported vulnerability assessment solution. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen.A core component of every cyber risk and security program is the identification and analysis of vulnerabilities. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten.Azure Security Center's standard pricing tier includes vulnerability scanning for your virtual machines at no extra cost. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd.Additionally, Security Center can automatically deploy this tool for you. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Azure Defender voor App Service moet zijn ingeschakeldAzure Defender for App Service should be enabled Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps.Azure Defender for App Service leverages the scale of the cloud, and the visibility that Azure has as a cloud provider, to monitor for common web app attacks. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeldAzure Defender for Azure SQL Database servers should be enabled Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.Azure Defender for SQL provides functionality for surfacing and mitigating potential database vulnerabilities, detecting anomalous activities that could indicate threats to SQL databases, and discovering and classifying sensitive data. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Azure Defender voor containerregisters moet zijn ingeschakeldAzure Defender for container registries should be enabled Azure Defender voor containerregisters biedt een functie voor het scannen op beveiligingsproblemen met installatiekopieën die in de afgelopen 30 dagen zijn opgehaald, naar uw register zijn gepusht of geïmporteerd, en geeft gedetailleerde resultaten per installatiekopie weer.Azure Defender for container registries provides vulnerability scanning of any images pulled within the last 30 days, pushed to your registry, or imported, and exposes detailed findings per image. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Key Vault moet zijn ingeschakeldAzure Defender for Key Vault should be enabled Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts.Azure Defender for Key Vault provides an additional layer of protection and security intelligence by detecting unusual and potentially harmful attempts to access or exploit key vault accounts. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Kubernetes moet zijn ingeschakeldAzure Defender for Kubernetes should be enabled Azure Defender voor Kubernetes biedt realtime-beveiliging tegen bedreigingen voor in containers geplaatste omgevingen. Ook worden waarschuwingen voor verdachte activiteiten gegenereerd.Azure Defender for Kubernetes provides real-time threat protection for containerized environments and generates alerts for suspicious activities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor servers moet zijn ingeschakeldAzure Defender for servers should be enabled Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd.Azure Defender for servers provides real-time threat protection for server workloads and generates hardening recommendations as well as alerts about suspicious activities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeldAzure Defender for SQL servers on machines should be enabled Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.Azure Defender for SQL provides functionality for surfacing and mitigating potential database vulnerabilities, detecting anomalous activities that could indicate threats to SQL databases, and discovering and classifying sensitive data. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Azure Defender voor opslag moet zijn ingeschakeldAzure Defender for Storage should be enabled Azure Defender voor opslag biedt functionaliteit voor het detecteren van ongebruikelijke en mogelijk schadelijke pogingen om toegang te verkrijgen tot of aanvallen op opslagaccounts.Azure Defender for Storage provides detections of unusual and potentially harmful attempts to access or exploit storage accounts. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versieKubernetes Services should be upgraded to a non-vulnerable Kubernetes version Voer een upgrade van uw Kubernetes-servicecluster uit naar een nieuwere Kubernetes-versie om het cluster te beschermen tegen bekende beveiligingsproblemen in de huidige Kubernetes-versie.Upgrade your Kubernetes service cluster to a later Kubernetes version to protect against known vulnerabilities in your current Kubernetes version. Beveiligingsprobleem met betrekking tot CVE-2019-9946 is opgelost in Kubernetes-versies 1.11.9+, 1.12.7+, 1.13.5+ en 1.14.0+Vulnerability CVE-2019-9946 has been patched in Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+, and 1.14.0+ Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
De prijscategorie Standard voor Security Center moet zijn geselecteerdSecurity Center standard pricing tier should be selected De prijscategorie Standard voorziet in detectie van bedreigingen voor netwerken en virtuele machines en biedt bedreigingsinformatie, anomaliedetectie en gedragsanalyse in Azure Security CenterThe standard pricing tier enables threat detection for networks and virtual machines, providing threat intelligence, anomaly detection, and behavior analytics in Azure Security Center Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
In SQL-databases moeten de bevindingen van beveiligingsleed zijn opgelostSQL databases should have vulnerability findings resolved Controleer de scanresultaten van de evaluatie van beveiligingsproblemen en aanbevelingen voor het herstellen van beveiligingsproblemen in de database.Monitor vulnerability assessment scan results and recommendations for how to remediate database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.04.0.0
Beveiligingsproblemen met installatiekopieën in Azure Container Registry moeten worden hersteldVulnerabilities in Azure Container Registry images should be remediated Evaluatie van beveiligingsproblemen van de containerinstallatiekopie scant uw register op beveiligingsproblemen op elke gepushte containerinstallatiekopie en toont gedetailleerde resultaten voor elke installatiekopie (mogelijk gemaakt door Qualys).Container image vulnerability assessment scans your registry for security vulnerabilities on each pushed container image and exposes detailed findings for each image (powered by Qualys). Door de beveiligingsproblemen op te lossen, kunt u de beveiligingspostuur van uw containers aanzienlijk verbeteren en deze beschermen tegen aanvallen.Resolving the vulnerabilities can greatly improve your containers' security posture and protect them from attacks. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpenVulnerabilities in container security configurations should be remediated Beveiligingsproblemen in de beveiligingsconfiguratie op computers waarop Docker is geïnstalleerd, controleren en als aanbevelingen weergeven in Azure Security Center.Audit vulnerabilities in security configuration on machines with Docker installed and display as recommendations in Azure Security Center. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteldVulnerabilities in security configuration on your machines should be remediated Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security CenterServers which do not satisfy the configured baseline will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteldVulnerabilities in security configuration on your virtual machine scale sets should be remediated Controleer op beveiligingsproblemen van besturingssystemen op uw virtuele-machineschaalsets om de schaalsets te beveiligen tegen aanvallen.Audit the OS vulnerabilities on your virtual machine scale sets to protect them from attacks. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
De instellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapportenVulnerability Assessment settings for SQL server should contain an email address to receive scan reports Zorg ervoor dat er een e-mailadres is ingesteld voor het veld Scanrapporten verzenden naar in de Instellingen voor evaluatie van beveiligingsproblemen.Ensure that an email address is provided for the 'Send scan reports to' field in the Vulnerability Assessment settings. Dit e-mailadres ontvangt een samenvatting van scanresultaten wanneer een periodieke scan wordt uitgevoerd op SQL-servers.This email address receives scan result summary after a periodic scan runs on SQL servers. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed InstanceVulnerability assessment should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld.Audit each SQL Managed Instance which doesn't have recurring vulnerability assessment scans enabled. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.Vulnerability assessment can discover, track, and help you remediate potential database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-serversVulnerability assessment should be enabled on your SQL servers Controleer Azure SQL-servers waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld.Audit Azure SQL servers which do not have recurring vulnerability assessment scans enabled. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.Vulnerability assessment can discover, track, and help you remediate potential database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

RisicobeheerRisk Management

Voer periodiek risicoanalyses uit om risico's te identificeren en te prioriteren op basis van de gedefinieerde risicocategorieën, risicobronnen en criteria voor risicometing.Periodically perform risk assessments to identify and prioritize risks according to the defined risk categories, risk sources and risk measurement criteria.

Id: CmMC L3 RM.3.144 Eigendom: GedeeldID: CMMC L3 RM.3.144 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Azure Defender voor App Service moet zijn ingeschakeldAzure Defender for App Service should be enabled Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps.Azure Defender for App Service leverages the scale of the cloud, and the visibility that Azure has as a cloud provider, to monitor for common web app attacks. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeldAzure Defender for Azure SQL Database servers should be enabled Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.Azure Defender for SQL provides functionality for surfacing and mitigating potential database vulnerabilities, detecting anomalous activities that could indicate threats to SQL databases, and discovering and classifying sensitive data. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Azure Defender voor containerregisters moet zijn ingeschakeldAzure Defender for container registries should be enabled Azure Defender voor containerregisters biedt een functie voor het scannen op beveiligingsproblemen met installatiekopieën die in de afgelopen 30 dagen zijn opgehaald, naar uw register zijn gepusht of geïmporteerd, en geeft gedetailleerde resultaten per installatiekopie weer.Azure Defender for container registries provides vulnerability scanning of any images pulled within the last 30 days, pushed to your registry, or imported, and exposes detailed findings per image. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Key Vault moet zijn ingeschakeldAzure Defender for Key Vault should be enabled Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts.Azure Defender for Key Vault provides an additional layer of protection and security intelligence by detecting unusual and potentially harmful attempts to access or exploit key vault accounts. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor Kubernetes moet zijn ingeschakeldAzure Defender for Kubernetes should be enabled Azure Defender voor Kubernetes biedt realtime-beveiliging tegen bedreigingen voor in containers geplaatste omgevingen. Ook worden waarschuwingen voor verdachte activiteiten gegenereerd.Azure Defender for Kubernetes provides real-time threat protection for containerized environments and generates alerts for suspicious activities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor servers moet zijn ingeschakeldAzure Defender for servers should be enabled Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd.Azure Defender for servers provides real-time threat protection for server workloads and generates hardening recommendations as well as alerts about suspicious activities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Defender voor SQL-servers moet zijn ingeschakeldAzure Defender for SQL servers on machines should be enabled Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.Azure Defender for SQL provides functionality for surfacing and mitigating potential database vulnerabilities, detecting anomalous activities that could indicate threats to SQL databases, and discovering and classifying sensitive data. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Azure Defender voor opslag moet zijn ingeschakeldAzure Defender for Storage should be enabled Azure Defender voor opslag biedt functionaliteit voor het detecteren van ongebruikelijke en mogelijk schadelijke pogingen om toegang te verkrijgen tot of aanvallen op opslagaccounts.Azure Defender for Storage provides detections of unusual and potentially harmful attempts to access or exploit storage accounts. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
De prijscategorie Standard voor Security Center moet zijn geselecteerdSecurity Center standard pricing tier should be selected De prijscategorie Standard voorziet in detectie van bedreigingen voor netwerken en virtuele machines en biedt bedreigingsinformatie, anomaliedetectie en gedragsanalyse in Azure Security CenterThe standard pricing tier enables threat detection for networks and virtual machines, providing threat intelligence, anomaly detection, and behavior analytics in Azure Security Center Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
De instellingen voor evaluatie van beveiligingsproblemen voor SQL Server moeten een e-mailadres bevatten voor het ontvangen van scanrapportenVulnerability Assessment settings for SQL server should contain an email address to receive scan reports Zorg ervoor dat er een e-mailadres is ingesteld voor het veld Scanrapporten verzenden naar in de Instellingen voor evaluatie van beveiligingsproblemen.Ensure that an email address is provided for the 'Send scan reports to' field in the Vulnerability Assessment settings. Dit e-mailadres ontvangt een samenvatting van scanresultaten wanneer een periodieke scan wordt uitgevoerd op SQL-servers.This email address receives scan result summary after a periodic scan runs on SQL servers. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Systeem- en communicatiebeveiligingSystem and Communications Protection

Communicatie (bijvoorbeeld gegevens die worden verzonden of ontvangen door organisatiesystemen) bewaken, beheren en beveiligen aan de externe grenzen en de belangrijkste interne grenzen van organisatiesystemen.Monitor, control, and protect communications (i.e., information transmitted or received by organizational systems) at the external boundaries and key internal boundaries of organizational systems.

Id: CmMC L3 SC.1.175 Eigendom: GedeeldID: CMMC L3 SC.1.175 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gerichtAdaptive network hardening recommendations should be applied on internet facing virtual machines Azure Security Center analyseert de verkeerspatronen van virtuele machines die vanaf het internet toegankelijk zijn, en formuleert aanbevelingen voor regels voor de netwerkbeveiligingsgroep die de kans op aanvallen beperkenAzure Security Center analyzes the traffic patterns of Internet facing virtual machines and provides Network Security Group rule recommendations that reduce the potential attack surface AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machineAll network ports should be restricted on network security groups associated to your virtual machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd.Azure Security Center has identified some of your network security groups' inbound rules to be too permissive. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’.Inbound rules should not allow access from 'Any' or 'Internet' ranges. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen.This can potentially enable attackers to target your resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
API-app mag alleen toegankelijk zijn via HTTPSAPI App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Cognitive Services accounts moeten openbare netwerktoegang uitschakelenCognitive Services accounts should disable public network access Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen Cognitive Services account niet wordt blootgesteld op het openbare internet.Disabling public network access improves security by ensuring that Cognitive Services account isn't exposed on the public internet. Het maken van privé-eindpunten kan de blootstelling van een Cognitive Services beperken.Creating private endpoints can limit exposure of Cognitive Services account. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2129800.Learn more at: https://go.microsoft.com/fwlink/?linkid=2129800. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.11.0.1
Voor Cognitive Services-accounts moet de netwerktoegang zijn beperktCognitive Services accounts should restrict network access Netwerktoegang tot Cognitive Services-accounts moet zijn beperkt.Network access to Cognitive Services accounts should be restricted. Configureer netwerkregels zodat alleen toepassingen van toegestane netwerken toegang hebben tot het Cognitive Services-account.Configure network rules so only applications from allowed networks can access the Cognitive Services account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet.To allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Containerregisters mogen geen onbeperkte netwerktoegang toestaanContainer registries should not allow unrestricted network access Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk.Azure container registries by default accept connections over the internet from hosts on any network. Als u uw registers tegen mogelijke dreigingen wilt beveiligen, moet u alleen toegang vanaf specifieke openbare IP-adressen of adresbereiken toestaan.To protect your registries from potential threats, allow access from only specific public IP addresses or address ranges. Als uw register geen IP/firewallregel of een geconfigureerd virtueel netwerk heeft, wordt het in de beschadigde resources weergegeven.If your registry doesn't have an IP/firewall rule or a configured virtual network, it will appear in the unhealthy resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/portal/public-network en hier https://aka.ms/acr/vnet.Learn more about Container Registry network rules here: https://aka.ms/acr/portal/public-network and here https://aka.ms/acr/vnet. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
Stroomlogboeken moeten worden geconfigureerd voor elke netwerkbeveiligingsgroepFlow logs should be configured for every network security group Controleer of netwerkbeveiligingsgroepen zijn geconfigureerd om te controleren of stroomlogboeken zijn geconfigureerd.Audit for network security groups to verify if flow logs are configured. Als u stroomlogboeken inschakelen, kunt u informatie over IP-verkeer dat via de netwerkbeveiligingsgroep stroomt, in een logboek opslaan.Enabling flow logs allows to log information about IP traffic flowing through network security group. Het kan worden gebruikt voor het optimaliseren van netwerkstromen, het controleren van de doorvoer, het controleren van de naleving, het detecteren van inbraakpogingen en meer.It can be used for optimizing network flows, monitoring throughput, verifying compliance, detecting intrusions and more. Controle, uitgeschakeldAudit, Disabled 1.1.01.1.0
Function-app mag alleen toegankelijk zijn via HTTPSFunction App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepenInternet-facing virtual machines should be protected with network security groups Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your virtual machines from potential threats by restricting access to them with network security groups (NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-docLearn more about controlling traffic with NSGs at https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken)Kubernetes cluster pods should only use approved host network and port range Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster.Restrict pod access to the host network and the allowable host port range in a Kubernetes cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4, dat is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren.This recommendation is part of CIS 5.2.4 which is intended to improve the security of your Kubernetes environments. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS), en als preview voor AKS Engine en Kubernetes met Azure Arc.This policy is generally available for Kubernetes Service (AKS), and preview for AKS Engine and Azure Arc enabled Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie.For more information, see https://aka.ms/kubepolicydoc. controleren, weigeren, uitgeschakeldaudit, deny, disabled 3.0.03.0.0
De nieuwste TLS-versie moet worden gebruikt in uw API-appLatest TLS version should be used in your API App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw Function-appLatest TLS version should be used in your Function App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw web-appLatest TLS version should be used in your Web App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheerManagement ports of virtual machines should be protected with just-in-time network access control Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security CenterPossible network Just In Time (JIT) access will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Network Watcher moet zijn ingeschakeldNetwork Watcher should be enabled Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken.Network Watcher is a regional service that enables you to monitor and diagnose conditions at a network scenario level in, to, and from Azure. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk.Scenario level monitoring enables you to diagnose problems at an end to end network level view. U kunt de beschikbare diagnostische en visualisatiehulpprogramma's voor netwerken in Network Watcher gebruiken om uw netwerk in Azure te begrijpen, te analyseren en inzichten voor uw netwerk te verkrijgen.Network diagnostic and visualization tools available with Network Watcher help you understand, diagnose, and gain insights to your network in Azure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepenNon-internet-facing virtual machines should be protected with network security groups Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your non-internet-facing virtual machines from potential threats by restricting access with network security groups (NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-docLearn more about controlling traffic with NSGs at https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeldOnly secure connections to your Azure Cache for Redis should be enabled Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren.Audit enabling of only connections via SSL to Azure Cache for Redis. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of secure connections ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeldPublic network access on Azure SQL Database should be disabled Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure SQL Database can only be accessed from a private endpoint. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk.This configuration denies all logins that match IP or virtual network based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-serversPublic network access should be disabled for MariaDB servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MariaDB alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for MariaDB can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd.This configuration strictly disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele MySQL-serversPublic network access should be disabled for MySQL flexible servers Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for MySQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure Database for MySQL flexible servers can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration strictly disables access from any public address space outside of Azure IP range and denies all logins that match IP or virtual network-based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-serversPublic network access should be disabled for MySQL servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for MySQL can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd.This configuration strictly disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele PostgreSQL-serversPublic network access should be disabled for PostgreSQL flexible servers Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for PostgreSQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure Database for PostgreSQL flexible servers can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration strictly disables access from any public address space outside of Azure IP range and denies all logins that match IP or virtual network-based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-serversPublic network access should be disabled for PostgreSQL servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for PostgreSQL can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeldSecure transfer to storage accounts should be enabled Controleer de vereiste van beveiligde overdracht in uw opslagaccount.Audit requirement of Secure transfer in your storage account. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert.Secure transfer is an option that forces your storage account to accept requests only from secure connections (HTTPS). Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of HTTPS ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 2.0.02.0.0
Openbare toegang tot een opslagaccount moet niet worden toegestaanStorage account public access should be disallowed Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren.Anonymous public read access to containers and blobs in Azure Storage is a convenient way to share data but might present security risks. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario.To prevent data breaches caused by undesired anonymous access, Microsoft recommends preventing public access to a storage account unless your scenario requires it. controleren, weigeren, uitgeschakeldaudit, deny, disabled 2.0.1-preview2.0.1-preview
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan IP-adresbereiken van openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application GatewayWeb Application Firewall (WAF) should be enabled for Application Gateway Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer.Deploy Azure Web Application Firewall (WAF) in front of public facing web applications for additional inspection of incoming traffic. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen.Web Application Firewall (WAF) provides centralized protection of your web applications from common exploits and vulnerabilities such as SQL injections, Cross-Site Scripting, local and remote file executions. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels.You can also restrict access to your web applications by countries, IP address ranges, and other http(s) parameters via custom rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.11.0.1
Web Application Firewall (WAF) moet zijn ingeschakeld voor Azure Front Door Service serviceWeb Application Firewall (WAF) should be enabled for Azure Front Door Service service Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer.Deploy Azure Web Application Firewall (WAF) in front of public facing web applications for additional inspection of incoming traffic. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen.Web Application Firewall (WAF) provides centralized protection of your web applications from common exploits and vulnerabilities such as SQL injections, Cross-Site Scripting, local and remote file executions. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels.You can also restrict access to your web applications by countries, IP address ranges, and other http(s) parameters via custom rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.11.0.1
Web Application Firewall (WAF) moet de opgegeven modus gebruiken voor Application GatewayWeb Application Firewall (WAF) should use the specified mode for Application Gateway Hiermee wordt machtiging verleend dat de modus Detectie of Preventie actief is voor alle Web Application Firewall-beleidsregels voor Application Gateway.Mandates the use of 'Detection' or 'Prevention' mode to be active on all Web Application Firewall policies for Application Gateway. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Web Application Firewall (WAF) moet de opgegeven modus gebruiken voor Azure Front Door ServiceWeb Application Firewall (WAF) should use the specified mode for Azure Front Door Service Hiermee wordt machtiging verleend dat de modus Detectie of Preventie actief is voor alle Web Application Firewall-beleidsregels voor Azure Front Door Service.Mandates the use of 'Detection' or 'Prevention' mode to be active on all Web Application Firewall policies for Azure Front Door Service. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Webtoepassing mag alleen toegankelijk zijn via HTTPSWeb Application should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerktoegang'Windows machines should meet requirements for 'Security Options - Network Access' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerktoegang voor onder meer toegang voor anonieme gebruikers, lokale accounts en externe toegang tot het register.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Access' for including access for anonymous users, local accounts, and remote access to the registry. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Windows-webservers moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollenWindows web servers should be configured to use secure communication protocols Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw webservers gebruikmaken van de nieuwste versie van het industriestandaard cryptografieprotocol, Transport Layer Security (TLS).To protect the privacy of information communicated over the Internet, your web servers should use the latest version of the industry-standard cryptographic protocol, Transport Layer Security (TLS). TLS beveiligt communicatie via een netwerk met behulp van beveiligingscertificaten om een verbinding tussen computers te versleutelen.TLS secures communications over a network by using security certificates to encrypt a connection between machines. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.1.02.1.0

Subnetwerken implementeren voor openbaar toegankelijke systeemonderdelen die fysiek of logisch gescheiden zijn van interne netwerken.Implement subnetworks for publicly accessible system components that are physically or logically separated from internal networks.

Id: CmMC L3 SC.1.176 Eigendom: GedeeldID: CMMC L3 SC.1.176 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gerichtAdaptive network hardening recommendations should be applied on internet facing virtual machines Azure Security Center analyseert de verkeerspatronen van virtuele machines die vanaf het internet toegankelijk zijn, en formuleert aanbevelingen voor regels voor de netwerkbeveiligingsgroep die de kans op aanvallen beperkenAzure Security Center analyzes the traffic patterns of Internet facing virtual machines and provides Network Security Group rule recommendations that reduce the potential attack surface AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machineAll network ports should be restricted on network security groups associated to your virtual machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd.Azure Security Center has identified some of your network security groups' inbound rules to be too permissive. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’.Inbound rules should not allow access from 'Any' or 'Internet' ranges. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen.This can potentially enable attackers to target your resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepenInternet-facing virtual machines should be protected with network security groups Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your virtual machines from potential threats by restricting access to them with network security groups (NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-docLearn more about controlling traffic with NSGs at https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend tot verkeer van specifieke virtuele Azure-netwerken of tot ip-adresbereiken voor openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Subnets moeten worden gekoppeld aan een netwerkbeveiligingsgroepSubnets should be associated with a Network Security Group Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your subnet from potential threats by restricting access to it with a Network Security Group (NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd.NSGs contain a list of Access Control List (ACL) rules that allow or deny network traffic to your subnet. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Gebruik versleutelde sessies voor het beheer van netwerkapparaten.Use encrypted sessions for the management of network devices.

Id: CMMC L3 SC.2.179 Eigendom: KlantID: CMMC L3 SC.2.179 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheerManagement ports of virtual machines should be protected with just-in-time network access control Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security CenterPossible network Just In Time (JIT) access will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Gebruik met FIPS gevalideerde cryptografie wanneer deze wordt gebruikt om de vertrouwelijkheid van CUI te beveiligen.Employ FIPS-validated cryptography when used to protect the confidentiality of CUI.

Id: CmMC L3 SC.3.177 Eigendom: GedeeldID: CMMC L3 SC.3.177 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleutelingAudit Windows machines that do not store passwords using reversible encryption Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleutelingMachines are non-compliant if Windows machines that do not store passwords using reversible encryption AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Automation-accountvariabelen moeten worden versleuteldAutomation account variables should be encrypted Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevensIt is important to enable encryption of Automation account variable assets when storing sensitive data Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
Azure API for FHIR moet een door de klant beheerde sleutel gebruiken om data-at-rest te versleutelenAzure API for FHIR should use a customer-managed key to encrypt data at rest Gebruik een door de klant beheerde sleutel om de versleuteling van data-at-rest te beheren van de gegevens die in Azure API for FHIR zijn opgeslagen als dit een vereiste is vanwege regelgeving of naleving.Use a customer-managed key to control the encryption at rest of the data stored in Azure API for FHIR when this is a regulatory or compliance requirement. Door de klant beheerde sleutels bieden ook dubbele versleuteling door een tweede laag versleuteling toe te voegen boven op de standaard die wordt uitgevoerd met door service beheerde sleutels.Customer-managed keys also deliver double encryption by adding a second layer of encryption on top of the default one done with service-managed keys. controle, uitgeschakeldaudit, disabled 1.0.11.0.1
Voor Azure Data Box-taken moet dubbele versleuteling zijn ingeschakeld voor data-at-rest op het apparaatAzure Data Box jobs should enable double encryption for data at rest on the device Schakel een tweede laag van op software gebaseerde versleuteling in voor data-at-rest op het apparaat.Enable a second layer of software-based encryption for data at rest on the device. Het apparaat is al beveiligd via Advanced Encryption Standard 256-bits-versleuteling voor data-at-rest.The device is already protected via Advanced Encryption Standard 256-bit encryption for data at rest. Met deze optie wordt een tweede laag van gegevensversleuteling toegevoegd.This option adds a second layer of data encryption. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Voor Azure Data Explorer-versleuteling at-rest moet een door de klant beheerde sleutel worden gebruiktAzure Data Explorer encryption at rest should use a customer-managed key Als u versleuteling at rest inschakelt waarbij gebruik wordt gemaakt van een door de klant beheerde sleutel in uw Azure Data Explorer-cluster, hebt u meer controle over de sleutel die wordt gebruikt door de versleuteling at rest.Enabling encryption at rest using a customer-managed key on your Azure Data Explorer cluster provides additional control over the key being used by the encryption at rest. Deze functie is vaak van toepassing op klanten met speciale nalevingsvereisten, en vereist een sleutelkluis voor het beheren van de sleutels.This feature is oftentimes applicable to customers with special compliance requirements and requires a Key Vault to managing the keys. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Voor Azure Stream Analytics-taken moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van gegevensAzure Stream Analytics jobs should use customer-managed keys to encrypt data Gebruik door de klant beheerde sleutels wanneer u metagegevens en persoonlijke gegevensassets van uw Stream Analytics-taken veilig wilt opslaan in uw opslagaccount.Use customer-managed keys when you want to securely store any metadata and private data assets of your Stream Analytics jobs in your storage account. Hiermee hebt u volledige controle over hoe uw Stream Analytics-gegevens worden versleuteld.This gives you total control over how your Stream Analytics data is encrypted. controleren, weigeren, uitgeschakeldaudit, deny, disabled 1.0.01.0.0
Voor Azure Synapse-werkruimten moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-restAzure Synapse workspaces should use customer-managed keys to encrypt data at rest Gebruik door de klant beheerde sleutels om de versleuteling 'at rest' van de opgeslagen gegevens in Azure Synapse-werkruimten te beheren.Use customer-managed keys to control the encryption at rest of the data stored in Azure Synapse workspaces. Door de klant beheerde sleutels bieden dubbele versleuteling door een tweede laag versleuteling toe te voegen boven op de standaard versleuteling met door service beheerde sleutels.Customer-managed keys deliver double encryption by adding a second layer of encryption on top of the default encryption with service-managed keys. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutelsBoth operating systems and data disks in Azure Kubernetes Service clusters should be encrypted by customer-managed keys Het versleutelen van besturingssysteem- en gegevensschijven met door de klant beheerde sleutels biedt meer controle en flexibiliteit in sleutelbeheer.Encrypting OS and data disks using customer-managed keys provides more control and greater flexibility in key management. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden.This is a common requirement in many regulatory and industry compliance standards. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Certificaten met RSA-cryptografie moeten de opgegeven minimale sleutelgrootte hebbenCertificates using RSA cryptography should have the specified minimum key size Beheer de nalevingsvereisten van uw organisatie door een minimale sleutelgrootte voor RSA-certificaten op te geven die zijn opgeslagen in uw sleutelkluis.Manage your organizational compliance requirements by specifying a minimum key size for RSA certificates stored in your key vault. controleren, weigeren, uitgeschakeldaudit, deny, disabled 2.0.0-preview2.0.0-preview
Cognitive Services-accounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutelCognitive Services accounts should enable data encryption with a customer-managed key Door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan wettelijke nalevingsstandaarden.Customer-managed keys are commonly required to meet regulatory compliance standards. Met door de klant beheerde sleutels kunnen de gegevens die zijn opgeslagen in Cognitive Services worden versleuteld met een Azure Key Vault sleutel die door u is gemaakt en eigendom is.Customer-managed keys enable the data stored in Cognitive Services to be encrypted with an Azure Key Vault key created and owned by you. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer.You have full control and responsibility for the key lifecycle, including rotation and management. Meer informatie over door de klant beheerde sleutels op https://go.microsoft.com/fwlink/?linkid=2121321 .Learn more about customer-managed keys at https://go.microsoft.com/fwlink/?linkid=2121321. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 2.0.02.0.0
Containerregisters moeten worden versleuteld met een door de klant beheerde sleutelContainer registries should be encrypted with a customer-managed key Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers.Use customer-managed keys to manage the encryption at rest of the contents of your registries. Standaard worden de gegevens at-rest versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan regelgevingsstandaarden.By default, the data is encrypted at rest with service-managed keys, but customer-managed keys are commonly required to meet regulatory compliance standards. Door de klant beheerde sleutels maken het mogelijk om de gegevens te versleutelen met een Azure Key Vault sleutel die door u is gemaakt en eigendom is.Customer-managed keys enable the data to be encrypted with an Azure Key Vault key created and owned by you. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer.You have full control and responsibility for the key lifecycle, including rotation and management. Meer informatie op https://aka.ms/acr/CMK .Learn more at https://aka.ms/acr/CMK. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.21.1.2
Schijfversleuteling moet worden toegepast op virtuele machinesDisk encryption should be applied on virtual machines Virtuele machines zonder ingeschakelde schijfversleuteling worden bewaakt via Azure Security Center als aanbevelingen.Virtual machines without an enabled disk encryption will be monitored by Azure Security Center as recommendations. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Schijfversleuteling moet zijn ingeschakeld voor Azure Data ExplorerDisk encryption should be enabled on Azure Data Explorer Door schijfversleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie.Enabling disk encryption helps protect and safeguard your data to meet your organizational security and compliance commitments. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 2.0.02.0.0
Dubbele versleuteling moet zijn ingeschakeld voor Azure Data ExplorerDouble encryption should be enabled on Azure Data Explorer Door dubbele versleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie.Enabling double encryption helps protect and safeguard your data to meet your organizational security and compliance commitments. Wanneer dubbele versleuteling is ingeschakeld, worden de gegevens in het opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met behulp van twee verschillende versleutelingsalgoritmes en twee verschillende sleutels.When double encryption has been enabled, data in the storage account is encrypted twice, once at the service level and once at the infrastructure level, using two different encryption algorithms and two different keys. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 2.0.02.0.0
Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for MySQL-serversInfrastructure encryption should be enabled for Azure Database for MySQL servers Schakel infrastructuurversleuteling in voor Azure Database for MySQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn.Enable infrastructure encryption for Azure Database for MySQL servers to have higher level of assurance that the data is secure. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutels.When infrastructure encryption is enabled, the data at rest is encrypted twice using FIPS 140-2 compliant Microsoft managed keys. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for PostgreSQL-serversInfrastructure encryption should be enabled for Azure Database for PostgreSQL servers Schakel infrastructuurversleuteling in voor Azure Database for PostgreSQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn.Enable infrastructure encryption for Azure Database for PostgreSQL servers to have higher level of assurance that the data is secure. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutelsWhen infrastructure encryption is enabled, the data at rest is encrypted twice using FIPS 140-2 compliant Microsoft managed keys Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Sleutels moeten van het opgegeven cryptografische type RSA of EC zijnKeys should be the specified cryptographic type RSA or EC Voor sommige toepassingen is het gebruik van sleutels vereist die door een specifiek cryptografisch type worden ondersteund.Some applications require the use of keys backed by a specific cryptographic type. Dwing een bepaald cryptografisch sleuteltype in uw omgeving af, RSA of EC.Enforce a particular cryptographic key type, RSA or EC, in your environment. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.0-preview1.0.0-preview
Sleutels die gebruikmaken van elliptische curve-cryptografie, moeten de opgegeven curvenamen hebbenKeys using elliptic curve cryptography should have the specified curve names Sleutels die worden ondersteund door elliptische curve-cryptografie, kunnen verschillende curvenamen hebben.Keys backed by elliptic curve cryptography can have different curve names. Sommige toepassingen zijn alleen compatibel met specifieke elliptische-curvesleutels.Some applications are only compatible with specific elliptic curve keys. Dwing de typen elliptische-curvesleutels af die in uw omgeving mogen worden gemaakt.Enforce the types of elliptic curve keys that are allowed to be created in your environment. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.0-preview1.0.0-preview
Sleutels met RSA-cryptografie moeten een opgegeven minimale sleutelgrootte hebbenKeys using RSA cryptography should have a specified minimum key size Stel de minimaal toegestane sleutelgrootte in die u voor uw sleutelkluizen wilt gebruiken.Set the minimum allowed key size for use with your key vaults. Het gebruik van RSA-sleutels met kleine sleutelgrootten is geen veilige manier en voldoet niet aan een groot aantal industriële certificeringsvereisten.Use of RSA keys with small key sizes is not a secure practice and doesn't meet many industry certification requirements. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.0-preview1.0.0-preview
Versleuteling van Data Lake Store-accounts vereisenRequire encryption on Data Lake Store accounts Met dit beleid wordt ervoor gezorgd dat voor alle Data Lake Store-accounts versleuteling is ingeschakeldThis policy ensures encryption is enabled on all Data Lake Store accounts weigerendeny 1.0.01.0.0
Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSignService Fabric clusters should have the ClusterProtectionLevel property set to EncryptAndSign Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat.Service Fabric provides three levels of protection (None, Sign and EncryptAndSign) for node-to-node communication using a primary cluster certificate. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekendSet the protection level to ensure that all node-to-node messages are encrypted and digitally signed Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-restSQL managed instances should use customer-managed keys to encrypt data at rest TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken.Implementing Transparent Data Encryption (TDE) with your own key provides you with increased transparency and control over the TDE Protector, increased security with an HSM-backed external service, and promotion of separation of duties. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste.This recommendation applies to organizations with a related compliance requirement. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.21.0.2
Voor SQL-servers moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-restSQL servers should use customer-managed keys to encrypt data at rest TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken.Implementing Transparent Data Encryption (TDE) with your own key provides increased transparency and control over the TDE Protector, increased security with an HSM-backed external service, and promotion of separation of duties. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste.This recommendation applies to organizations with a related compliance requirement. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.12.0.1
Voor opslagaccounts moet versleuteling van infrastructuur zijn ingeschakeldStorage accounts should have infrastructure encryption Schakel versleuteling van de infrastructuur in voor een hogere mate van zekerheid dat de gegevens veilig zijn.Enable infrastructure encryption for higher level of assurance that the data is secure. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld.When infrastructure encryption is enabled, data in a storage account is encrypted twice. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Opslagaccounts moeten een door de klant beheerde sleutel gebruiken voor versleutelingStorage accounts should use customer-managed key for encryption Beveilig uw opslagaccount met meer flexibiliteit met behulp van door de klant beheerde sleutels.Secure your storage account with greater flexibility using customer-managed keys. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld.When you specify a customer-managed key, that key is used to protect and control access to the key that encrypts your data. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden voor het beheer van de rotatie van de sleutelversleutelingssleutel of het cryptografisch wissen van gegevens.Using customer-managed keys provides additional capabilities to control rotation of the key encryption key or cryptographically erase data. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Transparent Data Encryption in SQL-databases moet zijn ingeschakeldTransparent Data Encryption on SQL databases should be enabled Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereistenTransparent data encryption should be enabled to protect data-at-rest and meet compliance requirements AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Niet-gekoppelde schijven moeten worden versleuteldUnattached disks should be encrypted Met dit beleid wordt elke niet-gekoppelde schijf gecontroleerd waarvoor geen versleuteling is ingeschakeld.This policy audits any unattached disk without encryption enabled. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0

Gebruik architectuurontwerpen, softwareontwikkelingstechnieken en systeemengineeringsprincipes die effectieve informatiebeveiliging binnen organisatiesystemen bevorderen.Employ architectural designs, software development techniques, and systems engineering principles that promote effective information security within organizational systems.

Id: CmMC L3 SC.3.180 Eigendom: GedeeldID: CMMC L3 SC.3.180 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Subnets moeten worden gekoppeld aan een netwerkbeveiligingsgroepSubnets should be associated with a Network Security Group Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your subnet from potential threats by restricting access to it with a Network Security Group (NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd.NSGs contain a list of Access Control List (ACL) rules that allow or deny network traffic to your subnet. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Scheid de gebruikersfunctionaliteit van systeembeheerfunctionaliteit.Separate user functionality from system management functionality.

Id: CmMC L3 SC.3.181 Eigendom: GedeeldID: CMMC L3 SC.3.181 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnementA maximum of 3 owners should be designated for your subscription Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken.It is recommended to designate up to 3 subscription owners in order to reduce the potential for breach by a compromised owner. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-serversAn Azure Active Directory administrator should be provisioned for SQL servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen.Audit provisioning of an Azure Active Directory administrator for your SQL server to enable Azure AD authentication. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijkAzure AD authentication enables simplified permission management and centralized identity management of database users and other Microsoft services AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Windows-machines controleren die opgegeven leden van de groep Beheerders bevattenAudit Windows machines that have the specified members in the Administrators group Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als de lokale groep Beheerders één of meer leden bevat die worden vermeld in de beleidsparameter.Machines are non-compliant if the local Administrators group contains one or more of the members listed in the policy parameter. auditIfNotExistsauditIfNotExists 1.0.01.0.0
Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnementDeprecated accounts with owner permissions should be removed from your subscription Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement.Deprecated accounts with owner permissions should be removed from your subscription. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.Deprecated accounts are accounts that have been blocked from signing in. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with owner permissions should be removed from your subscription Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with owner permissions should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnementThere should be more than one owner assigned to your subscription Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders.It is recommended to designate more than one subscription owner in order to have administrator access redundancy. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Netwerkcommunicatieverkeer standaard weigeren en netwerkcommunicatieverkeer bij uitzondering toestaan (dat wil zeggen alles weigeren, toestaan bij uitzondering).Deny network communications traffic by default and allow network communications traffic by exception (i.e., deny all, permit by exception).

Id: CmMC L3 SC.3.183 Eigendom: GedeeldID: CMMC L3 SC.3.183 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gerichtAdaptive network hardening recommendations should be applied on internet facing virtual machines Azure Security Center analyseert de verkeerspatronen van virtuele machines die vanaf het internet toegankelijk zijn, en formuleert aanbevelingen voor regels voor de netwerkbeveiligingsgroep die de kans op aanvallen beperkenAzure Security Center analyzes the traffic patterns of Internet facing virtual machines and provides Network Security Group rule recommendations that reduce the potential attack surface AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Alle internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure FirewallAll Internet traffic should be routed via your deployed Azure Firewall Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie.Azure Security Center has identified that some of your subnets aren't protected with a next generation firewall. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatieProtect your subnets from potential threats by restricting access to them with Azure Firewall or a supported next generation firewall AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.0-preview3.0.0-preview
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machineAll network ports should be restricted on network security groups associated to your virtual machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd.Azure Security Center has identified some of your network security groups' inbound rules to be too permissive. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’.Inbound rules should not allow access from 'Any' or 'Internet' ranges. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen.This can potentially enable attackers to target your resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Azure Key Vault moet openbare netwerktoegang uitschakelenAzure Key Vault should disable public network access Schakel openbare netwerktoegang voor uw sleutelkluis uit zodat deze niet toegankelijk is via het openbare internet.Disable public network access for your key vault so that it's not accessible over the public internet. Dit kan het risico op gegevenslekken verminderen.This can reduce data leakage risks. Zie voor meer informatie: https://aka.ms/akvprivatelink.Learn more at: https://aka.ms/akvprivatelink. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.0-preview1.1.0-preview
Cognitive Services accounts moeten openbare netwerktoegang uitschakelenCognitive Services accounts should disable public network access Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen Cognitive Services account niet wordt blootgesteld op het openbare internet.Disabling public network access improves security by ensuring that Cognitive Services account isn't exposed on the public internet. Het maken van privé-eindpunten kan de blootstelling van een Cognitive Services beperken.Creating private endpoints can limit exposure of Cognitive Services account. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2129800.Learn more at: https://go.microsoft.com/fwlink/?linkid=2129800. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.11.0.1
Voor Cognitive Services-accounts moet de netwerktoegang zijn beperktCognitive Services accounts should restrict network access Netwerktoegang tot Cognitive Services-accounts moet zijn beperkt.Network access to Cognitive Services accounts should be restricted. Configureer netwerkregels zodat alleen toepassingen van toegestane netwerken toegang hebben tot het Cognitive Services-account.Configure network rules so only applications from allowed networks can access the Cognitive Services account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet.To allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Containerregisters mogen geen onbeperkte netwerktoegang toestaanContainer registries should not allow unrestricted network access Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk.Azure container registries by default accept connections over the internet from hosts on any network. Als u uw registers tegen mogelijke dreigingen wilt beveiligen, moet u alleen toegang vanaf specifieke openbare IP-adressen of adresbereiken toestaan.To protect your registries from potential threats, allow access from only specific public IP addresses or address ranges. Als uw register geen IP/firewallregel of een geconfigureerd virtueel netwerk heeft, wordt het in de beschadigde resources weergegeven.If your registry doesn't have an IP/firewall rule or a configured virtual network, it will appear in the unhealthy resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/portal/public-network en hier https://aka.ms/acr/vnet.Learn more about Container Registry network rules here: https://aka.ms/acr/portal/public-network and here https://aka.ms/acr/vnet. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
CORS mag er niet toe leiden dat elk domein toegang tot uw API voor FHIR heeftCORS should not allow every domain to access your API for FHIR Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw API voor FHIR.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your API for FHIR. Als u uw API voor FHIR wilt beveiligen, verwijdert u de toegang voor alle domeinen en definieert u de domeinen die zijn toegestaan om verbinding te maken.To protect your API for FHIR, remove access for all domains and explicitly define the domains allowed to connect. controle, uitgeschakeldaudit, disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang tot uw API-app heeftCORS should not allow every resource to access your API App Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw API-app.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your API app. Sta alleen de vereiste domeinen toe om met uw API-app te communiceren.Allow only required domains to interact with your API app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw Function-appsCORS should not allow every resource to access your Function Apps Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your Function app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren.Allow only required domains to interact with your Function app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Gebruik van CORS mag er niet toe leiden dat elke resource toegang heeft tot uw webtoepassingenCORS should not allow every resource to access your Web Applications Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw webtoepassing.Cross-Origin Resource Sharing (CORS) should not allow all domains to access your web application. Sta alleen de vereiste domeinen toe om met uw web-app te communiceren.Allow only required domains to interact with your web app. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Stroomlogboeken moeten worden geconfigureerd voor elke netwerkbeveiligingsgroepFlow logs should be configured for every network security group Controleer of netwerkbeveiligingsgroepen zijn geconfigureerd om te controleren of stroomlogboeken zijn geconfigureerd.Audit for network security groups to verify if flow logs are configured. Als u stroomlogboeken inschakelen, kunt u informatie over IP-verkeer dat via de netwerkbeveiligingsgroep stroomt, in een logboek opslaan.Enabling flow logs allows to log information about IP traffic flowing through network security group. Het kan worden gebruikt voor het optimaliseren van netwerkstromen, het controleren van de doorvoer, het controleren van de naleving, het detecteren van inbraakpogingen en meer.It can be used for optimizing network flows, monitoring throughput, verifying compliance, detecting intrusions and more. Controle, uitgeschakeldAudit, Disabled 1.1.01.1.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepenInternet-facing virtual machines should be protected with network security groups Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your virtual machines from potential threats by restricting access to them with network security groups (NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-docLearn more about controlling traffic with NSGs at https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken)Kubernetes cluster pods should only use approved host network and port range Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster.Restrict pod access to the host network and the allowable host port range in a Kubernetes cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4, dat is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren.This recommendation is part of CIS 5.2.4 which is intended to improve the security of your Kubernetes environments. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS), en als preview voor AKS Engine en Kubernetes met Azure Arc.This policy is generally available for Kubernetes Service (AKS), and preview for AKS Engine and Azure Arc enabled Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie.For more information, see https://aka.ms/kubepolicydoc. controleren, weigeren, uitgeschakeldaudit, deny, disabled 3.0.03.0.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheerManagement ports of virtual machines should be protected with just-in-time network access control Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security CenterPossible network Just In Time (JIT) access will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Network Watcher moet zijn ingeschakeldNetwork Watcher should be enabled Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken.Network Watcher is a regional service that enables you to monitor and diagnose conditions at a network scenario level in, to, and from Azure. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk.Scenario level monitoring enables you to diagnose problems at an end to end network level view. U kunt de beschikbare diagnostische en visualisatiehulpprogramma's voor netwerken in Network Watcher gebruiken om uw netwerk in Azure te begrijpen, te analyseren en inzichten voor uw netwerk te verkrijgen.Network diagnostic and visualization tools available with Network Watcher help you understand, diagnose, and gain insights to your network in Azure. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepenNon-internet-facing virtual machines should be protected with network security groups Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your non-internet-facing virtual machines from potential threats by restricting access with network security groups (NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-docLearn more about controlling traffic with NSGs at https://aka.ms/nsg-doc AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeldPublic network access on Azure SQL Database should be disabled Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure SQL Database can only be accessed from a private endpoint. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk.This configuration denies all logins that match IP or virtual network based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-serversPublic network access should be disabled for MariaDB servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MariaDB alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for MariaDB can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd.This configuration strictly disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele MySQL-serversPublic network access should be disabled for MySQL flexible servers Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for MySQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure Database for MySQL flexible servers can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration strictly disables access from any public address space outside of Azure IP range and denies all logins that match IP or virtual network-based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-serversPublic network access should be disabled for MySQL servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for MySQL can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd.This configuration strictly disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele PostgreSQL-serversPublic network access should be disabled for PostgreSQL flexible servers Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for PostgreSQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt.Disabling the public network access property improves security by ensuring your Azure Database for PostgreSQL flexible servers can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration strictly disables access from any public address space outside of Azure IP range and denies all logins that match IP or virtual network-based firewall rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-serversPublic network access should be disabled for PostgreSQL servers Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt.Disable the public network access property to improve security and ensure your Azure Database for PostgreSQL can only be accessed from a private endpoint. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.This configuration disables access from any public address space outside of Azure IP range, and denies all logins that match IP or virtual network-based firewall rules. Controle, uitgeschakeldAudit, Disabled 1.0.21.0.2
Openbare toegang tot een opslagaccount moet niet worden toegestaanStorage account public access should be disallowed Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren.Anonymous public read access to containers and blobs in Azure Storage is a convenient way to share data but might present security risks. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario.To prevent data breaches caused by undesired anonymous access, Microsoft recommends preventing public access to a storage account unless your scenario requires it. controleren, weigeren, uitgeschakeldaudit, deny, disabled 2.0.1-preview2.0.1-preview
Opslagaccounts moeten toegang uit vertrouwde Microsoft-services toestaanStorage accounts should allow access from trusted Microsoft services Sommige Microsoft-services die communiceren met opslagaccounts, werken vanuit netwerken waaraan geen toegang kan worden verleend via netwerkregels.Some Microsoft services that interact with storage accounts operate from networks that can't be granted access through network rules. Om dit type service goed te laten werken, moet u de set vertrouwde Microsoft-services toestaan om de netwerkregels over te slaan.To help this type of service work as intended, allow the set of trusted Microsoft services to bypass the network rules. Deze services gebruiken vervolgens sterke verificatie om toegang te krijgen tot het opslagaccount.These services will then use strong authentication to access the storage account. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan IP-adresbereiken van openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Subnets moeten worden gekoppeld aan een netwerkbeveiligingsgroepSubnets should be associated with a Network Security Group Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG).Protect your subnet from potential threats by restricting access to it with a Network Security Group (NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd.NSGs contain a list of Access Control List (ACL) rules that allow or deny network traffic to your subnet. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Web Application Firewall (WAF) moet zijn ingeschakeld voor Application GatewayWeb Application Firewall (WAF) should be enabled for Application Gateway Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer.Deploy Azure Web Application Firewall (WAF) in front of public facing web applications for additional inspection of incoming traffic. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen.Web Application Firewall (WAF) provides centralized protection of your web applications from common exploits and vulnerabilities such as SQL injections, Cross-Site Scripting, local and remote file executions. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels.You can also restrict access to your web applications by countries, IP address ranges, and other http(s) parameters via custom rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.11.0.1
Web Application Firewall (WAF) moet zijn ingeschakeld voor Azure Front Door Service serviceWeb Application Firewall (WAF) should be enabled for Azure Front Door Service service Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer.Deploy Azure Web Application Firewall (WAF) in front of public facing web applications for additional inspection of incoming traffic. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen.Web Application Firewall (WAF) provides centralized protection of your web applications from common exploits and vulnerabilities such as SQL injections, Cross-Site Scripting, local and remote file executions. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels.You can also restrict access to your web applications by countries, IP address ranges, and other http(s) parameters via custom rules. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.11.0.1
Web Application Firewall (WAF) moet de opgegeven modus gebruiken voor Application GatewayWeb Application Firewall (WAF) should use the specified mode for Application Gateway Hiermee wordt machtiging verleend dat de modus Detectie of Preventie actief is voor alle Web Application Firewall-beleidsregels voor Application Gateway.Mandates the use of 'Detection' or 'Prevention' mode to be active on all Web Application Firewall policies for Application Gateway. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Web Application Firewall (WAF) moet de opgegeven modus gebruiken voor Azure Front Door ServiceWeb Application Firewall (WAF) should use the specified mode for Azure Front Door Service Hiermee wordt machtiging verleend dat de modus Detectie of Preventie actief is voor alle Web Application Firewall-beleidsregels voor Azure Front Door Service.Mandates the use of 'Detection' or 'Prevention' mode to be active on all Web Application Firewall policies for Azure Front Door Service. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerktoegang'Windows machines should meet requirements for 'Security Options - Network Access' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerktoegang voor onder meer toegang voor anonieme gebruikers, lokale accounts en externe toegang tot het register.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Access' for including access for anonymous users, local accounts, and remote access to the registry. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging'Windows machines should meet requirements for 'Security Options - Network Security' Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP.Windows machines should have the specified Group Policy settings in the category 'Security Options - Network Security' for including Local System behavior, PKU2U, LAN Manager, LDAP client, and NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing.This policy requires that the Guest Configuration prerequisites have been deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Implementeer cryptografische mechanismen om niet-geautoriseerde openbaarmaking van CUI tijdens verzending te voorkomen, tenzij anderszins beschermd door alternatieve fysieke beveiliging.Implement cryptographic mechanisms to prevent unauthorized disclosure of CUI during transmission unless otherwise protected by alternative physical safeguards.

Id: CmMC L3 SC.3.185 Eigendom: GedeeldID: CMMC L3 SC.3.185 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
API-app mag alleen toegankelijk zijn via HTTPSAPI App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseserversEnforce SSL connection should be enabled for MySQL database servers Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen.Azure Database for MySQL supports connecting your Azure Database for MySQL server to client applications using Secure Sockets Layer (SSL). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld.Enforcing SSL connections between your database server and your client applications helps protect against 'man in the middle' attacks by encrypting the data stream between the server and your application. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.This configuration enforces that SSL is always enabled for accessing your database server. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseserversEnforce SSL connection should be enabled for PostgreSQL database servers Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen.Azure Database for PostgreSQL supports connecting your Azure Database for PostgreSQL server to client applications using Secure Sockets Layer (SSL). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld.Enforcing SSL connections between your database server and your client applications helps protect against 'man in the middle' attacks by encrypting the data stream between the server and your application. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.This configuration enforces that SSL is always enabled for accessing your database server. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Function-app mag alleen toegankelijk zijn via HTTPSFunction App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw API-appLatest TLS version should be used in your API App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw Function-appLatest TLS version should be used in your Function App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw web-appLatest TLS version should be used in your Web App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeldOnly secure connections to your Azure Cache for Redis should be enabled Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren.Audit enabling of only connections via SSL to Azure Cache for Redis. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of secure connections ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeldSecure transfer to storage accounts should be enabled Controleer de vereiste van beveiligde overdracht in uw opslagaccount.Audit requirement of Secure transfer in your storage account. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert.Secure transfer is an option that forces your storage account to accept requests only from secure connections (HTTPS). Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of HTTPS ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 2.0.02.0.0
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan IP-adresbereiken van openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Webtoepassing mag alleen toegankelijk zijn via HTTPSWeb Application should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Windows-webservers moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollenWindows web servers should be configured to use secure communication protocols Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw webservers gebruikmaken van de nieuwste versie van het cryptografische protocol volgens de industriestandaard, Transport Layer Security (TLS).To protect the privacy of information communicated over the Internet, your web servers should use the latest version of the industry-standard cryptographic protocol, Transport Layer Security (TLS). TLS beveiligt communicatie via een netwerk met behulp van beveiligingscertificaten om een verbinding tussen computers te versleutelen.TLS secures communications over a network by using security certificates to encrypt a connection between machines. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.1.02.1.0

Stel cryptografische sleutels op en beheer deze voor cryptografie die worden gebruikt in organisatiesystemen.Establish and manage cryptographic keys for cryptography employed in organizational systems.

Id: CmMC L3 SC.3.187 Eigendom: GedeeldID: CMMC L3 SC.3.187 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Azure Defender voor Key Vault moet zijn ingeschakeldAzure Defender for Key Vault should be enabled Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts.Azure Defender for Key Vault provides an additional layer of protection and security intelligence by detecting unusual and potentially harmful attempts to access or exploit key vault accounts. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.31.0.3
Azure Key Vault moet openbare netwerktoegang uitschakelenAzure Key Vault should disable public network access Schakel openbare netwerktoegang voor uw sleutelkluis uit zodat deze niet toegankelijk is via het openbare internet.Disable public network access for your key vault so that it's not accessible over the public internet. Dit kan het risico op gegevenslekken verminderen.This can reduce data leakage risks. Zie voor meer informatie: https://aka.ms/akvprivatelink.Learn more at: https://aka.ms/akvprivatelink. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.0-preview1.1.0-preview
Key Vault-sleutels moeten een vervaldatum hebbenKey Vault keys should have an expiration date Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn.Cryptographic keys should have a defined expiration date and not be permanent. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken.Keys that are valid forever provide a potential attacker with more time to compromise the key. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen.It is a recommended security practice to set expiration dates on cryptographic keys. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.1-preview1.0.1-preview
Beveiliging tegen leegmaken moet zijn ingeschakeld voor sleutelkluizenKey vaults should have purge protection enabled Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies.Malicious deletion of a key vault can lead to permanent data loss. Een kwaadwillende insider in uw organisatie kan sleutelkluizen verwijderen en leegmaken.A malicious insider in your organization can potentially delete and purge key vaults. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen.Purge protection protects you from insider attacks by enforcing a mandatory retention period for soft deleted key vaults. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken.No one inside your organization or Microsoft will be able to purge your key vaults during the soft delete retention period. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizenKey vaults should have soft delete enabled Als u een sleutelkluis verwijdert zonder dat de functie voor voorlopig verwijderen is ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis permanent verwijderd.Deleting a key vault without soft delete enabled permanently deletes all secrets, keys, and certificates stored in the key vault. Onbedoeld verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies.Accidental deletion of a key vault can lead to permanent data loss. Met een zachte verwijderperiode kunt u een per ongeluk verwijderde sleutelkluis herstellen voor een configureerbare retentieperiode.Soft delete allows you to recover an accidentally deleted key vault for a configurable retention period. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.21.0.2
Sleutels moeten van het opgegeven cryptografische type RSA of EC zijnKeys should be the specified cryptographic type RSA or EC Voor sommige toepassingen is het gebruik van sleutels vereist die door een specifiek cryptografisch type worden ondersteund.Some applications require the use of keys backed by a specific cryptographic type. Dwing een bepaald cryptografisch sleuteltype in uw omgeving af, RSA of EC.Enforce a particular cryptographic key type, RSA or EC, in your environment. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.0-preview1.0.0-preview
Sleutels die gebruikmaken van elliptische curve-cryptografie, moeten de opgegeven curvenamen hebbenKeys using elliptic curve cryptography should have the specified curve names Sleutels die worden ondersteund door elliptische curve-cryptografie, kunnen verschillende curvenamen hebben.Keys backed by elliptic curve cryptography can have different curve names. Sommige toepassingen zijn alleen compatibel met specifieke elliptische-curvesleutels.Some applications are only compatible with specific elliptic curve keys. Dwing de typen elliptische-curvesleutels af die in uw omgeving mogen worden gemaakt.Enforce the types of elliptic curve keys that are allowed to be created in your environment. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.0-preview1.0.0-preview
Sleutels met RSA-cryptografie moeten een opgegeven minimale sleutelgrootte hebbenKeys using RSA cryptography should have a specified minimum key size Stel de minimaal toegestane sleutelgrootte in die u voor uw sleutelkluizen wilt gebruiken.Set the minimum allowed key size for use with your key vaults. Het gebruik van RSA-sleutels met kleine sleutelgrootten is geen veilige manier en voldoet niet aan een groot aantal industriële certificeringsvereisten.Use of RSA keys with small key sizes is not a secure practice and doesn't meet many industry certification requirements. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.0-preview1.0.0-preview

Bescherm de echtheid van communicatiesessies.Protect the authenticity of communications sessions.

Id: CmMC L3 SC.3.190 Eigendom: GedeeldID: CMMC L3 SC.3.190 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
API-app mag alleen toegankelijk zijn via HTTPSAPI App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Certificaten met RSA-cryptografie moeten de opgegeven minimale sleutelgrootte hebbenCertificates using RSA cryptography should have the specified minimum key size Beheer de nalevingsvereisten van uw organisatie door een minimale sleutelgrootte voor RSA-certificaten op te geven die zijn opgeslagen in uw sleutelkluis.Manage your organizational compliance requirements by specifying a minimum key size for RSA certificates stored in your key vault. controleren, weigeren, uitgeschakeldaudit, deny, disabled 2.0.0-preview2.0.0-preview
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseserversEnforce SSL connection should be enabled for MySQL database servers Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen.Azure Database for MySQL supports connecting your Azure Database for MySQL server to client applications using Secure Sockets Layer (SSL). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld.Enforcing SSL connections between your database server and your client applications helps protect against 'man in the middle' attacks by encrypting the data stream between the server and your application. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.This configuration enforces that SSL is always enabled for accessing your database server. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseserversEnforce SSL connection should be enabled for PostgreSQL database servers Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen.Azure Database for PostgreSQL supports connecting your Azure Database for PostgreSQL server to client applications using Secure Sockets Layer (SSL). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld.Enforcing SSL connections between your database server and your client applications helps protect against 'man in the middle' attacks by encrypting the data stream between the server and your application. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.This configuration enforces that SSL is always enabled for accessing your database server. Controle, uitgeschakeldAudit, Disabled 1.0.11.0.1
Function-app mag alleen toegankelijk zijn via HTTPSFunction App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw API-appLatest TLS version should be used in your API App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw Function-appLatest TLS version should be used in your Function App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De nieuwste TLS-versie moet worden gebruikt in uw web-appLatest TLS version should be used in your Web App Een upgrade uitvoeren uit naar de meest recente TLS-versieUpgrade to the latest TLS version AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor uw abonnementMFA should be enabled accounts with write permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with write privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnementMFA should be enabled on accounts with owner permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with owner permissions to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnementMFA should be enabled on accounts with read permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with read privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Webtoepassing mag alleen toegankelijk zijn via HTTPSWeb Application should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Windows-webservers moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollenWindows web servers should be configured to use secure communication protocols Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw webservers gebruikmaken van de nieuwste versie van het cryptografische protocol volgens de industriestandaard, Transport Layer Security (TLS).To protect the privacy of information communicated over the Internet, your web servers should use the latest version of the industry-standard cryptographic protocol, Transport Layer Security (TLS). TLS beveiligt communicatie via een netwerk met behulp van beveiligingscertificaten om een verbinding tussen computers te versleutelen.TLS secures communications over a network by using security certificates to encrypt a connection between machines. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.1.02.1.0

De vertrouwelijkheid van inactieve CUI beschermen.Protect the confidentiality of CUI at rest.

Id: CmMC L3 SC.3.191 Eigendom: GedeeldID: CMMC L3 SC.3.191 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Advanced Data Security moet zijn ingeschakeld voor SQL Managed InstanceAdvanced data security should be enabled on SQL Managed Instance Controleer elke SQL Managed Instance zonder Advanced Data Security.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.11.0.1
Advanced Data Security moet zijn ingeschakeld op uw SQL-serversAdvanced data security should be enabled on your SQL servers SQL-servers zonder Advanced Data Security controlerenAudit SQL servers without Advanced Data Security AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Automation-accountvariabelen moeten worden versleuteldAutomation account variables should be encrypted Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevensIt is important to enable encryption of Automation account variable assets when storing sensitive data Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
Voor Azure Data Box-taken moet dubbele versleuteling zijn ingeschakeld voor data-at-rest op het apparaatAzure Data Box jobs should enable double encryption for data at rest on the device Schakel een tweede laag van op software gebaseerde versleuteling in voor data-at-rest op het apparaat.Enable a second layer of software-based encryption for data at rest on the device. Het apparaat is al beveiligd via Advanced Encryption Standard 256-bits-versleuteling voor data-at-rest.The device is already protected via Advanced Encryption Standard 256-bit encryption for data at rest. Met deze optie wordt een tweede laag van gegevensversleuteling toegevoegd.This option adds a second layer of data encryption. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Schijfversleuteling moet worden toegepast op virtuele machinesDisk encryption should be applied on virtual machines Virtuele machines zonder ingeschakelde schijfversleuteling worden bewaakt via Azure Security Center als aanbevelingen.Virtual machines without an enabled disk encryption will be monitored by Azure Security Center as recommendations. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Schijfversleuteling moet zijn ingeschakeld voor Azure Data ExplorerDisk encryption should be enabled on Azure Data Explorer Door schijfversleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie.Enabling disk encryption helps protect and safeguard your data to meet your organizational security and compliance commitments. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 2.0.02.0.0
Dubbele versleuteling moet zijn ingeschakeld voor Azure Data ExplorerDouble encryption should be enabled on Azure Data Explorer Door dubbele versleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie.Enabling double encryption helps protect and safeguard your data to meet your organizational security and compliance commitments. Wanneer dubbele versleuteling is ingeschakeld, worden de gegevens in het opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met behulp van twee verschillende versleutelingsalgoritmes en twee verschillende sleutels.When double encryption has been enabled, data in the storage account is encrypted twice, once at the service level and once at the infrastructure level, using two different encryption algorithms and two different keys. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 2.0.02.0.0
Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for MySQL-serversInfrastructure encryption should be enabled for Azure Database for MySQL servers Schakel infrastructuurversleuteling in voor Azure Database for MySQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn.Enable infrastructure encryption for Azure Database for MySQL servers to have higher level of assurance that the data is secure. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutels.When infrastructure encryption is enabled, the data at rest is encrypted twice using FIPS 140-2 compliant Microsoft managed keys. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for PostgreSQL-serversInfrastructure encryption should be enabled for Azure Database for PostgreSQL servers Schakel infrastructuurversleuteling in voor Azure Database for PostgreSQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn.Enable infrastructure encryption for Azure Database for PostgreSQL servers to have higher level of assurance that the data is secure. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutelsWhen infrastructure encryption is enabled, the data at rest is encrypted twice using FIPS 140-2 compliant Microsoft managed keys Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Versleuteling van Data Lake Store-accounts vereisenRequire encryption on Data Lake Store accounts Met dit beleid wordt ervoor gezorgd dat voor alle Data Lake Store-accounts versleuteling is ingeschakeldThis policy ensures encryption is enabled on all Data Lake Store accounts weigerendeny 1.0.01.0.0
Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSignService Fabric clusters should have the ClusterProtectionLevel property set to EncryptAndSign Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat.Service Fabric provides three levels of protection (None, Sign and EncryptAndSign) for node-to-node communication using a primary cluster certificate. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekendSet the protection level to ensure that all node-to-node messages are encrypted and digitally signed Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
Voor opslagaccounts moet versleuteling van infrastructuur zijn ingeschakeldStorage accounts should have infrastructure encryption Schakel versleuteling van de infrastructuur in voor een hogere mate van zekerheid dat de gegevens veilig zijn.Enable infrastructure encryption for higher level of assurance that the data is secure. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld.When infrastructure encryption is enabled, data in a storage account is encrypted twice. Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend tot verkeer van specifieke virtuele Azure-netwerken of tot ip-adresbereiken voor openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1
Transparent Data Encryption in SQL-databases moet zijn ingeschakeldTransparent Data Encryption on SQL databases should be enabled Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereistenTransparent data encryption should be enabled to protect data-at-rest and meet compliance requirements AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Niet-gekoppelde schijven moeten worden versleuteldUnattached disks should be encrypted Met dit beleid wordt elke niet-gekoppelde schijf gecontroleerd waarvoor geen versleuteling is ingeschakeld.This policy audits any unattached disk without encryption enabled. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0

Systeem- en gegevensintegriteitSystem and Information Integrity

Identificeer, rapporteer en corrigeert tijdig informatie en informatiesysteemfouten.Identify, report, and correct information and information system flaws in a timely manner.

Id: CmMC L3 SI.1.210 Eigendom: GedeeldID: CMMC L3 SI.1.210 Ownership: Shared

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Controleren of de HTTP-versie de meest recente is als deze wordt gebruikt om de API-app te openenEnsure that 'HTTP Version' is the latest, if used to run the API app Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for HTTP either due to security flaws or to include additional functionality. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest HTTP version for web apps to take advantage of security fixes, if any, and/or new functionalities of the newer version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controleren of de HTTP-versie de meest recente is, als deze wordt gebruikt om de Function-app uit te voerenEnsure that 'HTTP Version' is the latest, if used to run the Function app Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for HTTP either due to security flaws or to include additional functionality. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest HTTP version for web apps to take advantage of security fixes, if any, and/or new functionalities of the newer version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controleren of de HTTP-versie de meest recente is, als deze wordt gebruikt om de web-app te openenEnsure that 'HTTP Version' is the latest, if used to run the Web app Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen.Periodically, newer versions are released for HTTP either due to security flaws or to include additional functionality. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.Using the latest HTTP version for web apps to take advantage of security fixes, if any, and/or new functionalities of the newer version. Dit beleid is momenteel alleen van toepassing op Linux-web-apps.Currently, this policy only applies to Linux web apps