Details van het ingebouwde initiatief voor naleving van regelgeving voor ISO 27001:2013Details of the ISO 27001:2013 Regulatory Compliance built-in initiative

In het volgende artikel wordt beschreven hoe Azure Policy ingebouwde initiatiefdefinitie voor naleving van regelgeving wordt toe te schrijven aan nalevingsdomeinen en controles in ISO 27001:2013.The following article details how the Azure Policy Regulatory Compliance built-in initiative definition maps to compliance domains and controls in ISO 27001:2013. Zie ISO 27001:2013voor meer informatie over deze nalevingsstandaard.For more information about this compliance standard, see ISO 27001:2013. Zie Azure Policy-beleidsdefinitie en Gedeelde verantwoordelijkheid in de Cloud om Eigendom te begrijpen.To understand Ownership, see Azure Policy policy definition and Shared responsibility in the cloud.

De volgende toewijzingen zijn voor de ISO 27001:2013-beheeropties.The following mappings are to the ISO 27001:2013 controls. Gebruik de navigatie aan de rechterkant om rechtstreeks naar een toewijzing van een specifiek nalevingsdomein te gaan.Use the navigation on the right to jump directly to a specific compliance domain. Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie.Many of the controls are implemented with an Azure Policy initiative definition. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities.To review the complete initiative definition, open Policy in the Azure portal and select the Definitions page. Zoek en selecteer vervolgens de definitie van het ingebouwde initiatief voor naleving van regelgeving voor ISO 27001:2013.Then, find and select the ISO 27001:2013 Regulatory Compliance built-in initiative definition.

Dit ingebouwde initiatief wordt geïmplementeerd als onderdeel van het blauwdrukvoorbeeld ISO 27001:2013.This built-in initiative is deployed as part of the ISO 27001:2013 blueprint sample.

Belangrijk

Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities.Each control below is associated with one or more Azure Policy definitions. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels.These policies may help you assess compliance with the control; however, there often is not a one-to-one or complete match between a control and one or more policies. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie.As such, Compliant in Azure Policy refers only to the policy definitions themselves; this doesn't ensure you're fully compliant with all requirements of a control. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities.In addition, the compliance standard includes controls that aren't addressed by any Azure Policy definitions at this time. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus.Therefore, compliance in Azure Policy is only a partial view of your overall compliance status. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen.The associations between compliance domains, controls, and Azure Policy definitions for this compliance standard may change over time. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.To view the change history, see the GitHub Commit History.

Organisatie van informatiebeveiligingOrganization of information security

Scheiding van takenSegregation of Duties

Id: Iso 27001:2013 A.6.1.2 Eigendom: KlantID: ISO 27001:2013 A.6.1.2 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Er moeten maximaal drie eigenaren worden aangewezen voor uw abonnementA maximum of 3 owners should be designated for your subscription Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken.It is recommended to designate up to 3 subscription owners in order to reduce the potential for breach by a compromised owner. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Er moet meer dan één eigenaar zijn toegewezen aan uw abonnementThere should be more than one owner assigned to your subscription Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders.It is recommended to designate more than one subscription owner in order to have administrator access redundancy. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Asset-managementAsset management

Classificatie van informatieClassification of information

Id: Iso 27001:2013 A.8.2.1 Eigendom: KlantID: ISO 27001:2013 A.8.2.1 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
In SQL-databases moeten de bevindingen van beveiligingsleed zijn opgelostSQL databases should have vulnerability findings resolved Controleer de scanresultaten van de evaluatie van beveiligingsproblemen en aanbevelingen voor het herstellen van beveiligingsproblemen in de database.Monitor vulnerability assessment scan results and recommendations for how to remediate database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.04.0.0

ToegangsbeheerAccess control

Toegang tot netwerken en netwerkservicesAccess to networks and network services

Id: Eigendom van ISO 27001:2013 A.9.1.2: Klant ID: ISO 27001:2013 A.9.1.2 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaanAudit Linux machines that allow remote connections from accounts without passwords Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaanMachines are non-compliant if Linux machines that allow remote connections from accounts without passwords AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Linux-machines controleren met accounts zonder wachtwoordenAudit Linux machines that have accounts without passwords Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoordenMachines are non-compliant if Linux machines that have accounts without passwords AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Controleer virtuele machines die niet gebruikmaken van beheerde schijvenAudit VMs that do not use managed disks Dit beleid controleert virtuele machines die niet gebruikmaken van beheerde schijvenThis policy audits VMs that do not use managed disks controlerenaudit 1.0.01.0.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM'sDeploy the Linux Guest Configuration extension to enable Guest Configuration assignments on Linux VMs Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie.This policy deploys the Linux Guest Configuration extension to Linux virtual machines hosted in Azure that are supported by Guest Configuration. De Linux-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Linux-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Linux-gastconfiguratie.The Linux Guest Configuration extension is a prerequisite for all Linux Guest Configuration assignments and must deployed to machines before using any Linux Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resourcesStorage accounts should be migrated to new Azure Resource Manager resources Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw opslagaccounts, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheerUse new Azure Resource Manager for your storage accounts to provide security enhancements such as: stronger access control (RBAC), better auditing, Azure Resource Manager based deployment and governance, access to managed identities, access to key vault for secrets, Azure AD-based authentication and support for tags and resource groups for easier security management Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resourcesVirtual machines should be migrated to new Azure Resource Manager resources Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw virtuele machines, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure Active Directory en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheerUse new Azure Resource Manager for your virtual machines to provide security enhancements such as: stronger access control (RBAC), better auditing, Azure Resource Manager based deployment and governance, access to managed identities, access to key vault for secrets, Azure AD-based authentication and support for tags and resource groups for easier security management Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0

Beheer van rechten voor bevoegde toegangManagement of privileged access rights

Id: Iso 27001:2013 A.9.2.3 Eigendom: KlantID: ISO 27001:2013 A.9.2.3 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-serversAn Azure Active Directory administrator should be provisioned for SQL servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen.Audit provisioning of an Azure Active Directory administrator for your SQL server to enable Azure AD authentication. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijkAzure AD authentication enables simplified permission management and centralized identity management of database users and other Microsoft services AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Het gebruik van aangepaste RBAC-regels controlerenAudit usage of custom RBAC rules Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten.Audit built-in roles such as 'Owner, Contributer, Reader' instead of custom RBAC roles, which are error prone. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodelleringUsing custom roles is treated as an exception and requires a rigorous review and threat modeling Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with owner permissions should be removed from your subscription Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with owner permissions should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with write permissions should be removed from your subscription Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with write privileges should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor uw abonnementMFA should be enabled accounts with write permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with write privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnementMFA should be enabled on accounts with owner permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with owner permissions to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatieService Fabric clusters should only use Azure Active Directory for client authentication Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controlerenAudit usage of client authentication only via Azure Active Directory in Service Fabric Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0

Beheer van geheime verificatiegegevens van gebruikersManagement of secret authentication information of users

Id: Iso 27001:2013 A.9.2.4 Eigendom: KlantID: ISO 27001:2013 A.9.2.4 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteldAudit Linux machines that do not have the passwd file permissions set to 0644 Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines zijn voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebbenMachines are non-compliant if Linux machines that do not have the passwd file permissions set to 0644 AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM'sDeploy the Linux Guest Configuration extension to enable Guest Configuration assignments on Linux VMs Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie.This policy deploys the Linux Guest Configuration extension to Linux virtual machines hosted in Azure that are supported by Guest Configuration. De Linux-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Linux-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Linux-gastconfiguratie.The Linux Guest Configuration extension is a prerequisite for all Linux Guest Configuration assignments and must deployed to machines before using any Linux Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor uw abonnementMFA should be enabled accounts with write permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with write privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnementMFA should be enabled on accounts with owner permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with owner permissions to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnementMFA should be enabled on accounts with read permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with read privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Beoordeling van gebruikerstoegangsrechtenReview of user access rights

Id: ISO 27001:2013 A.9.2.5 Eigendom: KlantID: ISO 27001:2013 A.9.2.5 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Afgeschafte accounts moeten worden verwijderd uit uw abonnementDeprecated accounts should be removed from your subscription Afgeschafte accounts moeten worden verwijderd uit uw abonnement.Deprecated accounts should be removed from your subscriptions. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.Deprecated accounts are accounts that have been blocked from signing in. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnementDeprecated accounts with owner permissions should be removed from your subscription Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement.Deprecated accounts with owner permissions should be removed from your subscription. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.Deprecated accounts are accounts that have been blocked from signing in. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with owner permissions should be removed from your subscription Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with owner permissions should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnementExternal accounts with write permissions should be removed from your subscription Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.External accounts with write privileges should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Verwijdering of aanpassing van toegangsrechtenRemoval or adjustment of access rights

Id: ISO 27001:2013 A.9.2.6 Eigendom: KlantID: ISO 27001:2013 A.9.2.6 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Afgeschafte accounts moeten worden verwijderd uit uw abonnementDeprecated accounts should be removed from your subscription Afgeschafte accounts moeten worden verwijderd uit uw abonnement.Deprecated accounts should be removed from your subscriptions. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.Deprecated accounts are accounts that have been blocked from signing in. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnementDeprecated accounts with owner permissions should be removed from your subscription Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement.Deprecated accounts with owner permissions should be removed from your subscription. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd.Deprecated accounts are accounts that have been blocked from signing in. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Veilige procedures voor aanmeldenSecure log-on procedures

Id: Iso 27001:2013 A.9.4.2 Eigendom: KlantID: ISO 27001:2013 A.9.4.2 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
MFA moet zijn ingeschakeld voor accounts met schrijfmachtigingen voor uw abonnementMFA should be enabled accounts with write permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with write privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met eigenaarsmachtigingen voor uw abonnementMFA should be enabled on accounts with owner permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with owner permissions to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
MFA moet zijn ingeschakeld voor accounts met leesmachtigingen voor uw abonnementMFA should be enabled on accounts with read permissions on your subscription Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with read privileges to prevent a breach of accounts or resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

WachtwoordbeheersysteemPassword management system

Id: ISO 27001:2013 A.9.4.3 Eigendom: KlantID: ISO 27001:2013 A.9.4.3 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Windows-machines controleren waarvoor de voorgaande 24 wachtwoorden opnieuw kunnen worden gebruiktAudit Windows machines that allow re-use of the previous 24 passwords Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines de voorgaande 24 wachtwoorden opnieuw kunnen gebruikenMachines are non-compliant if Windows machines that allow re-use of the previous 24 passwords AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Windows-machines controleren waarvoor geen maximale wachtwoordduur van 70 dagen is ingesteldAudit Windows machines that do not have a maximum password age of 70 days Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines geen maximale wachtwoordduur van 70 dagen hebbenMachines are non-compliant if Windows machines that do not have a maximum password age of 70 days AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Windows-machines controleren waarvoor geen minimale wachtwoordduur van 1 dag is ingesteldAudit Windows machines that do not have a minimum password age of 1 day Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines geen minimale wachtwoordduur van 1 dag hebbenMachines are non-compliant if Windows machines that do not have a minimum password age of 1 day AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Windows-machines controleren waarop de instelling voor wachtwoordcomplexiteit niet is ingeschakeldAudit Windows machines that do not have the password complexity setting enabled Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines de instelling voor wachtwoordcomplexiteit niet hebben ingeschakeldMachines are non-compliant if Windows machines that do not have the password complexity setting enabled AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Windows-machines controleren waarvoor de minimale wachtwoordlengte niet wordt beperkt tot 14 tekensAudit Windows machines that do not restrict the minimum password length to 14 characters Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines de minimale wachtwoordlengte niet beperken tot 14 tekensMachines are non-compliant if Windows machines that do not restrict the minimum password length to 14 characters AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0

CryptografieCryptography

Beleid voor het gebruik van cryptografische besturingselementenPolicy on the use of cryptographic controls

Id: Iso 27001:2013 A.10.1.1 Eigendom: KlantID: ISO 27001:2013 A.10.1.1 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteitenAdd system-assigned managed identity to enable Guest Configuration assignments on virtual machines with no identities Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration but do not have any managed identities. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit)Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben.This policy adds a system-assigned managed identity to virtual machines hosted in Azure that are supported by Guest Configuration and have at least one user-assigned identity but do not have a system-assigned managed identity. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie.A system-assigned managed identity is a prerequisite for all Guest Configuration assignments and must be added to machines before using any Guest Configuration policy definitions. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. wijzigenmodify 1.0.01.0.0
API-app mag alleen toegankelijk zijn via HTTPSAPI App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleutelingAudit Windows machines that do not store passwords using reversible encryption Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing.Requires that prerequisites are deployed to the policy assignment scope. Zie https://aka.ms/gcpol voor meer informatie.For details, visit https://aka.ms/gcpol. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleutelingMachines are non-compliant if Windows machines that do not store passwords using reversible encryption AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Automation-accountvariabelen moeten worden versleuteldAutomation account variables should be encrypted Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevensIt is important to enable encryption of Automation account variable assets when storing sensitive data Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM'sDeploy the Windows Guest Configuration extension to enable Guest Configuration assignments on Windows VMs Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie.This policy deploys the Windows Guest Configuration extension to Windows virtual machines hosted in Azure that are supported by Guest Configuration. De Windows-extensie voor gastconfiguratie is een vereiste voor alle toewijzingen van Windows-gastconfiguratie, en moet worden geïmplementeerd op machines vóór het gebruik van beleidsdefinities voor Windows-gastconfiguratie.The Windows Guest Configuration extension is a prerequisite for all Windows Guest Configuration assignments and must deployed to machines before using any Windows Guest Configuration policy definition. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie.For more information on Guest Configuration, visit https://aka.ms/gcpol. deployIfNotExistsdeployIfNotExists 1.0.01.0.0
Schijfversleuteling moet worden toegepast op virtuele machinesDisk encryption should be applied on virtual machines Virtuele machines zonder ingeschakelde schijfversleuteling worden bewaakt via Azure Security Center als aanbevelingen.Virtual machines without an enabled disk encryption will be monitored by Azure Security Center as recommendations. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Function-app mag alleen toegankelijk zijn via HTTPSFunction App should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeldOnly secure connections to your Azure Cache for Redis should be enabled Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren.Audit enabling of only connections via SSL to Azure Cache for Redis. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of secure connections ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeldSecure transfer to storage accounts should be enabled Controleer de vereiste van beveiligde overdracht in uw opslagaccount.Audit requirement of Secure transfer in your storage account. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert.Secure transfer is an option that forces your storage account to accept requests only from secure connections (HTTPS). Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of HTTPS ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 2.0.02.0.0
Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSignService Fabric clusters should have the ClusterProtectionLevel property set to EncryptAndSign Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat.Service Fabric provides three levels of protection (None, Sign and EncryptAndSign) for node-to-node communication using a primary cluster certificate. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekendSet the protection level to ensure that all node-to-node messages are encrypted and digitally signed Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.01.1.0
Transparent Data Encryption in SQL-databases moet zijn ingeschakeldTransparent Data Encryption on SQL databases should be enabled Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereistenTransparent data encryption should be enabled to protect data-at-rest and meet compliance requirements AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Transparent Data Encryption in SQL-databases moet zijn ingeschakeldTransparent Data Encryption on SQL databases should be enabled Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereistenTransparent data encryption should be enabled to protect data-at-rest and meet compliance requirements AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 1.0.01.0.0
Webtoepassing mag alleen toegankelijk zijn via HTTPSWeb Application should only be accessible over HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Controle, uitgeschakeldAudit, Disabled 1.0.01.0.0

Beveiliging van bewerkingenOperations security

GebeurtenisregistratieEvent Logging

Id: ISO 27001:2013 A.12.4.1 Eigendom: KlantID: ISO 27001:2013 A.12.4.1 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Audit diagnostic setting (Diagnostische instelling voor controleren)Audit diagnostic setting Diagnostische controle-instelling voor geselecteerde resourcetypenAudit diagnostic setting for selected resource types AuditIfNotExistsAuditIfNotExists 1.0.01.0.0
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Afhankelijkheidsagent moet zijn ingeschakeld voor vermelde virtuele-machine-afbeeldingenDependency agent should be enabled for listed virtual machine images Rapporteert virtuele machines als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machines as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. De lijst met besturingssysteemafbeeldingen wordt na een periode bijgewerkt terwijl de ondersteuning wordt bijgewerkt.The list of OS images is updated over time as support is updated. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Afhankelijkheidsagent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde virtuele-machine-afbeeldingenDependency agent should be enabled in virtual machine scale sets for listed virtual machine images Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machine scale sets as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. De lijst met besturingssysteemafbeeldingen wordt na een periode bijgewerkt terwijl de ondersteuning wordt bijgewerkt.The list of OS images is updated over time as support is updated. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Log Analytics-agent moet zijn ingeschakeld voor vermelde virtuele-machine-afbeeldingenLog Analytics Agent should be enabled for listed virtual machine images Rapporteert virtuele machines als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machines as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.0-preview2.0.0-preview
Log Analytics-agent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde virtuele-machine-afbeeldingenLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machine scale sets as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Beheerders- en operatorlogboekenAdministrator and operator logs

Id: Eigendom van ISO 27001:2013 A.12.4.3: Klant ID: ISO 27001:2013 A.12.4.3 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Audit diagnostic setting (Diagnostische instelling voor controleren)Audit diagnostic setting Diagnostische controle-instelling voor geselecteerde resourcetypenAudit diagnostic setting for selected resource types AuditIfNotExistsAuditIfNotExists 1.0.01.0.0
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Afhankelijkheidsagent moet zijn ingeschakeld voor vermelde virtuele-machine-afbeeldingenDependency agent should be enabled for listed virtual machine images Rapporteert virtuele machines als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machines as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. De lijst met besturingssysteemafbeeldingen wordt na een periode bijgewerkt terwijl de ondersteuning wordt bijgewerkt.The list of OS images is updated over time as support is updated. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Afhankelijkheidsagent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde virtuele-machine-afbeeldingenDependency agent should be enabled in virtual machine scale sets for listed virtual machine images Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machine scale sets as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. De lijst met besturingssysteemafbeeldingen wordt na een periode bijgewerkt terwijl de ondersteuning wordt bijgewerkt.The list of OS images is updated over time as support is updated. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Log Analytics-agent moet zijn ingeschakeld voor vermelde virtuele-machine-afbeeldingenLog Analytics Agent should be enabled for listed virtual machine images Rapporteert virtuele machines als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machines as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.0-preview2.0.0-preview
Log Analytics-agent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde virtuele-machine-afbeeldingenLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machine scale sets as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

KloksynchronisatieClock Synchronization

Id: Iso 27001:2013 A.12.4.4 Eigendom: KlantID: ISO 27001:2013 A.12.4.4 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Audit diagnostic setting (Diagnostische instelling voor controleren)Audit diagnostic setting Diagnostische controle-instelling voor geselecteerde resourcetypenAudit diagnostic setting for selected resource types AuditIfNotExistsAuditIfNotExists 1.0.01.0.0
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Controle op SQL Server moet zijn ingeschakeldAuditing on SQL server should be enabled Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Afhankelijkheidsagent moet zijn ingeschakeld voor vermelde virtuele-machine-afbeeldingenDependency agent should be enabled for listed virtual machine images Rapporteert virtuele machines als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machines as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. De lijst met besturingssysteemafbeeldingen wordt na een periode bijgewerkt terwijl de ondersteuning wordt bijgewerkt.The list of OS images is updated over time as support is updated. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Afhankelijkheidsagent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde virtuele-machine-afbeeldingenDependency agent should be enabled in virtual machine scale sets for listed virtual machine images Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machine scale sets as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. De lijst met besturingssysteemafbeeldingen wordt na een periode bijgewerkt terwijl de ondersteuning wordt bijgewerkt.The list of OS images is updated over time as support is updated. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0
Log Analytics-agent moet zijn ingeschakeld voor vermelde virtuele-machine-afbeeldingenLog Analytics Agent should be enabled for listed virtual machine images Rapporteert virtuele machines als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machines as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.0-preview2.0.0-preview
Log Analytics-agent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde virtuele-machine-afbeeldingenLog Analytics agent should be enabled in virtual machine scale sets for listed virtual machine images Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatielijst van de virtuele machine niet in de gedefinieerde lijst staat en de agent niet is geïnstalleerd.Reports virtual machine scale sets as non-compliant if the virtual machine image is not in the list defined and the agent is not installed. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 2.0.02.0.0

Installatie van software op operationele systemenInstallation of software on operational systems

Id: Iso 27001:2013 A.12.5.1 Eigendom: KlantID: ISO 27001:2013 A.12.5.1 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computersAdaptive application controls for defining safe applications should be enabled on your machines Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd.Enable application controls to define the list of known-safe applications running on your machines, and alert you when other applications run. Dit helpt uw computers te beschermen tegen schadelijke software.This helps harden your machines against malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.To simplify the process of configuring and maintaining your rules, Security Center uses machine learning to analyze the applications running on each machine and suggest the list of known-safe applications. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Beheer van technische beveiligingsproblemenManagement of technical vulnerabilities

Id: Iso 27001:2013 A.12.6.1 Eigendom: KlantID: ISO 27001:2013 A.12.6.1 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld)A vulnerability assessment solution should be enabled on your virtual machines Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd.Audits virtual machines to detect whether they are running a supported vulnerability assessment solution. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen.A core component of every cyber risk and security program is the identification and analysis of vulnerabilities. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten.Azure Security Center's standard pricing tier includes vulnerability scanning for your virtual machines at no extra cost. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd.Additionally, Security Center can automatically deploy this tool for you. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Ontbrekende eindpuntbeveiliging bewaken in Azure Security CenterMonitor missing Endpoint Protection in Azure Security Center Servers zonder geïnstalleerde agent voor eindpuntbeveiliging worden als aanbevelingen bewaakt door Azure Security CenterServers without an installed Endpoint Protection agent will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
In SQL-databases moeten de bevindingen van beveiligingsleed zijn opgelostSQL databases should have vulnerability findings resolved Controleer de scanresultaten van de evaluatie van beveiligingsproblemen en aanbevelingen voor het herstellen van beveiligingsproblemen in de database.Monitor vulnerability assessment scan results and recommendations for how to remediate database vulnerabilities. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.04.0.0
Systeemupdates moeten op uw computers worden geïnstalleerdSystem updates should be installed on your machines Ontbrekende beveiligingssysteemupdates op uw servers worden als aanbevelingen bewaakt door Azure Security CenterMissing security system updates on your servers will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 4.0.04.0.0
Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteldVulnerabilities in security configuration on your machines should be remediated Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security CenterServers which do not satisfy the configured baseline will be monitored by Azure Security Center as recommendations AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

Beperkingen voor software-installatieRestrictions on software installation

Id: ISO 27001:2013 A.12.6.2 Eigendom: KlantID: ISO 27001:2013 A.12.6.2 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computersAdaptive application controls for defining safe applications should be enabled on your machines Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd.Enable application controls to define the list of known-safe applications running on your machines, and alert you when other applications run. Dit helpt uw computers te beschermen tegen schadelijke software.This helps harden your machines against malware. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor.To simplify the process of configuring and maintaining your rules, Security Center uses machine learning to analyze the applications running on each machine and suggest the list of known-safe applications. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0

CommunicatiebeveiligingCommunications security

NetwerkbesturingselementenNetwork controls

Id: ISO 27001:2013 A.13.1.1 Eigendom: KlantID: ISO 27001:2013 A.13.1.1 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machineAll network ports should be restricted on network security groups associated to your virtual machine Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd.Azure Security Center has identified some of your network security groups' inbound rules to be too permissive. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’.Inbound rules should not allow access from 'Any' or 'Internet' ranges. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen.This can potentially enable attackers to target your resources. AuditIfNotExists, uitgeschakeldAuditIfNotExists, Disabled 3.0.03.0.0
Netwerktoegang tot opslagaccounts moet zijn beperktStorage accounts should restrict network access Netwerktoegang tot opslagaccounts moet worden beperkt.Network access to storage accounts should be restricted. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount.Configure network rules so only applications from allowed networks can access the storage account. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan IP-adresbereiken van openbaar internetTo allow connections from specific internet or on-premises clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.1.11.1.1

Beleid en procedures voor gegevensoverdrachtInformation transfer policies and procedures

Id: Iso 27001:2013 A.13.2.1 Eigendom: KlantID: ISO 27001:2013 A.13.2.1 Ownership: Customer

NaamName
(Azure-portal)(Azure portal)
BeschrijvingDescription Gevolg(en)Effect(s) VersieVersion
(GitHub)(GitHub)
Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeldOnly secure connections to your Azure Cache for Redis should be enabled Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren.Audit enabling of only connections via SSL to Azure Cache for Redis. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of secure connections ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 1.0.01.0.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeldSecure transfer to storage accounts should be enabled Controleer de vereiste van beveiligde overdracht in uw opslagaccount.Audit requirement of Secure transfer in your storage account. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert.Secure transfer is an option that forces your storage account to accept requests only from secure connections (HTTPS). Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijackingUse of HTTPS ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Controleren, Weigeren, UitgeschakeldAudit, Deny, Disabled 2.0.02.0.0

Notitie

De beschikbaarheid van specifieke Azure Policy-definities kan verschillen in Azure Government en andere nationale clouds.Availability of specific Azure Policy definitions may vary in Azure Government and other national clouds.

Volgende stappenNext steps

Aanvullende artikelen over Azure Policy:Additional articles about Azure Policy: