Подробные сведения о встроенной инициативе о соответствии нормативным требованиям теста производительности CIS для платформ Microsoft Azure 1.3.0.

В следующей статье подробно описано, как определение встроенной инициативы о соответствии нормативным требованиям Политики Azure сопоставляется с областями соответствия нормативным требованиям и элементами управления в тестах CIS оценки безопасности для платформ Microsoft Azure 1.3.0. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure 1.3.0. Сведения о термине Ответственность см. в статьях Определение службы "Политика Azure" и Разделение ответственности в облаке.

Ниже приведены сопоставления, соответствующие элементам управления CIS Microsoft Azure Foundations Benchmark 1.3.0. Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите определение встроенной инициативы о соответствии требованиям Azure Foundations Benchmark CIS для платформ Microsoft Azure версии 1.3.0.

Внимание

Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.

1. Управление удостоверениями и доступом

Обеспечение того, что многофакторная проверка подлинности включена для всех привилегированных пользователей

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.1 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA	Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов.	AuditIfNotExists, Disabled	1.0.0
Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA	Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов.	AuditIfNotExists, Disabled	1.0.0
Внедрение механизмов биометрической проверки подлинности	CMA_0005 — Внедрение механизмов биометрической проверки подлинности	Вручную, отключено	1.1.0

Убедитесь, что параметр "Пользователи могут добавлять приложения коллекции на свою панель доступа" имеет значение "Нет"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.10 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0

Убедитесь, что параметр "Пользователи могут регистрировать приложения" имеет значение "Нет"

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 1.11 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0

Убедитесь, что параметр "Разрешения гостевого пользователя ограничены" имеет значение "Да"

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 1.12 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Проектирование модели управления доступом	CMA_0129 — Проектирование модели управления доступом	Вручную, отключено	1.1.0
Использование минимальных прав доступа	CMA_0212 — Использование минимальных прав доступа	Вручную, отключено	1.1.0
Принудительный логический доступ	CMA_0245 — Принудительный логический доступ	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Требование утверждения для создания учетной записи	CMA_0431 — Требование утверждения для создания учетной записи	Вручную, отключено	1.1.0
Проверка групп пользователей и приложений с доступом к конфиденциальным данным	CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным	Вручную, отключено	1.1.0

Убедитесь, что параметр "Участники могут приглашать" имеет значение "Нет"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.13 Ответственность: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Проектирование модели управления доступом	CMA_0129 — Проектирование модели управления доступом	Вручную, отключено	1.1.0
Использование минимальных прав доступа	CMA_0212 — Использование минимальных прав доступа	Вручную, отключено	1.1.0
Принудительный логический доступ	CMA_0245 — Принудительный логический доступ	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Требование утверждения для создания учетной записи	CMA_0431 — Требование утверждения для создания учетной записи	Вручную, отключено	1.1.0
Проверка групп пользователей и приложений с доступом к конфиденциальным данным	CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным	Вручную, отключено	1.1.0

Убедитесь, что параметр "Гости могут приглашать" имеет значение "Нет"

Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 1.14 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Проектирование модели управления доступом	CMA_0129 — Проектирование модели управления доступом	Вручную, отключено	1.1.0
Использование минимальных прав доступа	CMA_0212 — Использование минимальных прав доступа	Вручную, отключено	1.1.0
Принудительный логический доступ	CMA_0245 — Принудительный логический доступ	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Требование утверждения для создания учетной записи	CMA_0431 — Требование утверждения для создания учетной записи	Вручную, отключено	1.1.0
Проверка групп пользователей и приложений с доступом к конфиденциальным данным	CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным	Вручную, отключено	1.1.0

Убедитесь, что параметр "Ограничить доступ к порталу администрирования Azure AD" имеет значение "Да"

Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 1.15 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительный логический доступ	CMA_0245 — Принудительный логический доступ	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Требование утверждения для создания учетной записи	CMA_0431 — Требование утверждения для создания учетной записи	Вручную, отключено	1.1.0
Проверка групп пользователей и приложений с доступом к конфиденциальным данным	CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным	Вручную, отключено	1.1.0

Убедитесь, что параметр "Ограничить доступ пользователей к возможностям групп на панели доступа" имеет значение "Нет"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.16 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Внедрение и документирование процессов управления изменениями	CMA_0265 — Внедрение и документирование процессов управления изменениями	Вручную, отключено	1.1.0

Убедитесь, что параметр "Пользователи могут создавать группы безопасности на порталах Azure" имеет значение "Нет"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.17 Ответственность: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Внедрение и документирование процессов управления изменениями	CMA_0265 — Внедрение и документирование процессов управления изменениями	Вручную, отключено	1.1.0

Убедитесь, что параметр "Владельцы могут управлять запросами о членстве в группах на панели доступа" имеет значение "Нет"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.18 Ответственность: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Внедрение и документирование процессов управления изменениями	CMA_0265 — Внедрение и документирование процессов управления изменениями	Вручную, отключено	1.1.0

Убедитесь, что параметр "Пользователи могут создавать группы Microsoft 365 на порталах Azure" имеет значение "Нет"

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 1.19 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Внедрение и документирование процессов управления изменениями	CMA_0265 — Внедрение и документирование процессов управления изменениями	Вручную, отключено	1.1.0

Обеспечение того, что многофакторная проверка подлинности включена для всех непривилегированных пользователей

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.2 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA	Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов.	AuditIfNotExists, Disabled	1.0.0
Внедрение механизмов биометрической проверки подлинности	CMA_0005 — Внедрение механизмов биометрической проверки подлинности	Вручную, отключено	1.1.0

Убедитесь, что параметр "Требуется многофакторная проверка подлинности для подключения устройств" имеет значение "Да"

Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 1.20 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Внедрение механизмов биометрической проверки подлинности	CMA_0005 — Внедрение механизмов биометрической проверки подлинности	Вручную, отключено	1.1.0
Авторизация удаленного доступа	CMA_0024  — Авторизация удаленного доступа	Вручную, отключено	1.1.0
Документирование обучения мобильности	CMA_0191 — Документирование обучения мобильности	Вручную, отключено	1.1.0
Документирование инструкций по удаленному доступу	CMA_0196 — Документирование инструкций по удаленному доступу	Вручную, отключено	1.1.0
Идентификация и аутентификация сетевых устройств	CMA_0296 — Идентификация и аутентификация сетевых устройств	Вручную, отключено	1.1.0
Реализация элементов управления для защиты альтернативных рабочих сайтов	CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов	Вручную, отключено	1.1.0
Обучение в области конфиденциальности	CMA_0415 — Обучение в области конфиденциальности	Вручную, отключено	1.1.0
Выполнение требований к качеству токена	CMA_0487 — Выполнение требований к качеству токена	Вручную, отключено	1.1.0

Обеспечение того, что роли владельца пользовательской подписки не созданы

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.21 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Проектирование модели управления доступом	CMA_0129 — Проектирование модели управления доступом	Вручную, отключено	1.1.0
Использование минимальных прав доступа	CMA_0212 — Использование минимальных прав доступа	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Внедрение и документирование процессов управления изменениями	CMA_0265 — Внедрение и документирование процессов управления изменениями	Вручную, отключено	1.1.0

Убедитесь, что параметры безопасности по умолчанию включены в Azure Active Directory

Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 1.22 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Внедрение механизмов биометрической проверки подлинности	CMA_0005 — Внедрение механизмов биометрической проверки подлинности	Вручную, отключено	1.1.0
Аутентификация в криптографическом модуле	CMA_0021 — Аутентификация в криптографическом модуле	Вручную, отключено	1.1.0
Авторизация удаленного доступа	CMA_0024  — Авторизация удаленного доступа	Вручную, отключено	1.1.0
Документирование обучения мобильности	CMA_0191 — Документирование обучения мобильности	Вручную, отключено	1.1.0
Документирование инструкций по удаленному доступу	CMA_0196 — Документирование инструкций по удаленному доступу	Вручную, отключено	1.1.0
Идентификация и аутентификация сетевых устройств	CMA_0296 — Идентификация и аутентификация сетевых устройств	Вручную, отключено	1.1.0
Реализация элементов управления для защиты альтернативных рабочих сайтов	CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов	Вручную, отключено	1.1.0
Обучение в области конфиденциальности	CMA_0415 — Обучение в области конфиденциальности	Вручную, отключено	1.1.0
Выполнение требований к качеству токена	CMA_0487 — Выполнение требований к качеству токена	Вручную, отключено	1.1.0

Убедитесь, что настраиваемая роль назначена для администрирования блокировок ресурсов

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 1.23 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Внедрение и документирование процессов управления изменениями	CMA_0265 — Внедрение и документирование процессов управления изменениями	Вручную, отключено	1.1.0

Ежемесячная проверка гостевых пользователей

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.3 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены	Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ.	AuditIfNotExists, Disabled	1.0.0
Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены	Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ.	AuditIfNotExists, Disabled	1.0.0
Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены	Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ.	AuditIfNotExists, Disabled	1.0.0
Переназначение или удаление привилегий пользователя при необходимости	CMA_C1040 — Переназначение или удаление привилегий пользователя при необходимости	Вручную, отключено	1.1.0
Проверка журналов подготовки учетных записей	CMA_0460 — Проверка журналов подготовки учетных записей	Вручную, отключено	1.1.0
Проверка учетных записей пользователей	CMA_0480 — Проверка учетных записей пользователей	Вручную, отключено	1.1.0
Проверка привилегий пользователя	CMA_C1039 — Проверка привилегий пользователя	Вручную, отключено	1.1.0

Убедитесь, что параметр "Разрешить пользователям запоминать многофакторную проверку подлинности на устройствах, которым они доверяют" имеет значение "Отключено"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.4 Ownership: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Внедрение механизмов биометрической проверки подлинности	CMA_0005 — Внедрение механизмов биометрической проверки подлинности	Вручную, отключено	1.1.0
Идентификация и аутентификация сетевых устройств	CMA_0296 — Идентификация и аутентификация сетевых устройств	Вручную, отключено	1.1.0
Выполнение требований к качеству токена	CMA_0487 — Выполнение требований к качеству токена	Вручную, отключено	1.1.0

Убедитесь, что параметр "Количество дней, по истечении которых пользователям будет предложено повторно подтвердить данные проверки подлинности" не имеет значение "0"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.6 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Автоматизация управления учетными записями	CMA_0026 — Автоматизация управления учетными записями	Вручную, отключено	1.1.0
Управление системной учетной записью и учетной записью администратора	CMA_0368 — Управление системной учетной записью и учетной записью администратора	Вручную, отключено	1.1.0
Мониторинг доступа в организации	CMA_0376 — Мониторинг доступа в организации	Вручную, отключено	1.1.0
Уведомление о том, что учетная запись не требуется	CMA_0383 — Уведомление о том, что учетная запись не требуется	Вручную, отключено	1.1.0

Убедитесь, что параметр "Уведомлять пользователей о сбросе пароля?" имеет значение "Да"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.7 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Автоматизация управления учетными записями	CMA_0026 — Автоматизация управления учетными записями	Вручную, отключено	1.1.0
Реализация обучения для защиты структур проверки подлинности	CMA_0329 — Реализация обучения для защиты структур проверки подлинности	Вручную, отключено	1.1.0
Управление системной учетной записью и учетной записью администратора	CMA_0368 — Управление системной учетной записью и учетной записью администратора	Вручную, отключено	1.1.0
Мониторинг доступа в организации	CMA_0376 — Мониторинг доступа в организации	Вручную, отключено	1.1.0
Уведомление о том, что учетная запись не требуется	CMA_0383 — Уведомление о том, что учетная запись не требуется	Вручную, отключено	1.1.0

Убедитесь, что параметр "Уведомлять всех администраторов, если другие администраторы сбрасывают свои пароли?" имеет значение "Да"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.8 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Автоматизация управления учетными записями	CMA_0026 — Автоматизация управления учетными записями	Вручную, отключено	1.1.0
Реализация обучения для защиты структур проверки подлинности	CMA_0329 — Реализация обучения для защиты структур проверки подлинности	Вручную, отключено	1.1.0
Управление системной учетной записью и учетной записью администратора	CMA_0368 — Управление системной учетной записью и учетной записью администратора	Вручную, отключено	1.1.0
Мониторинг доступа в организации	CMA_0376 — Мониторинг доступа в организации	Вручную, отключено	1.1.0
Мониторинг назначения привилегированной роли	CMA_0378 — Мониторинг назначения привилегированной роли	Вручную, отключено	1.1.0
Уведомление о том, что учетная запись не требуется	CMA_0383 — Уведомление о том, что учетная запись не требуется	Вручную, отключено	1.1.0
Ограничение доступа к привилегированным учетным записям	CMA_0446 — Ограничение доступа к привилегированным учетным записям	Вручную, отключено	1.1.0
Отзыв привилегированных ролей при необходимости	CMA_0483 — Отзыв привилегированных ролей при необходимости	Вручную, отключено	1.1.0
Использование Privileged Identity Management	CMA_0533 — Использование Privileged Identity Management	Вручную, отключено	1.1.0

Убедитесь, что параметр "Пользователи могут разрешать приложениям доступ к корпоративным данным от своего имени" имеет значение "Нет"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.9 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0

2. Центр безопасности

Включение Azure Defender для серверов

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.1 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Azure Defender для серверов должен быть включен	Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях.	AuditIfNotExists, Disabled	1.0.3
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Убедитесь, что выбрана интеграция Microsoft Cloud App Security (MCAS) с Центром безопасности

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 2.10 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Обеспечение того, что включен параметр "Автоматическая подготовка агента мониторинга"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.11 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
В подписке должна быть включена автоматическая подготовка агента Log Analytics	Чтобы отслеживать уязвимости и угрозы безопасности, Центр безопасности Azure собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно.	AuditIfNotExists, Disabled	1.0.1
Документирование операций по обеспечению безопасности	CMA_0202 — Документирование операций по обеспечению безопасности	Вручную, отключено	1.1.0
Включение датчиков для решения безопасности конечной точки	CMA_0514 — Включение датчиков для решения безопасности конечной точки	Вручную, отключено	1.1.0

Убедитесь, что ни для одного параметра политики ASC по умолчанию не задано значение "Отключено"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.12 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Настройка действий для несоответствующих устройств	CMA_0062 — Настройка действий для несоответствующих устройств	Вручную, отключено	1.1.0
Разработка и настройка базовых конфигураций	CMA_0153 — Разработка и настройка базовых конфигураций	Вручную, отключено	1.1.0
Принудительное применение параметров конфигурации безопасности	CMA_0249 — Принудительное применение параметров конфигурации безопасности	Вручную, отключено	1.1.0
Создание совета по контролю за конфигурацией	CMA_0254 — Создание совета по контролю за конфигурацией	Вручную, отключено	1.1.0
Определение и документирование плана управления конфигурацией	CMA_0264 — Определение и документирование плана управления конфигурацией	Вручную, отключено	1.1.0
Реализация средства автоматизированного управления конфигурацией	CMA_0311 — Реализация средства автоматизированного управления конфигурацией	Вручную, отключено	1.1.0

Настройка дополнительных адресов электронной почты с использованием адреса электронной почты контактного лица по вопросам безопасности

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.13 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности	Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности.	AuditIfNotExists, Disabled	1.0.1

Настройка высокого уровня серьезности для уведомлений о предупреждениях

Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 2.14 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте	Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности.	AuditIfNotExists, Disabled	1.1.0

Включение Azure Defender для Службы приложений

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.2 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Azure Defender для Службы приложений должен быть включен	Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения.	AuditIfNotExists, Disabled	1.0.3
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Включение Azure Defender для серверов базы данных SQL Azure

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.3 Владения: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Azure Defender для серверов Базы данных SQL Azure должен быть включен	Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных.	AuditIfNotExists, Disabled	1.0.2
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Включение Azure Defender для серверов SQL Server на компьютерах.

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 2.4 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Azure Defender для серверов SQL на компьютерах должен быть включен	Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных.	AuditIfNotExists, Disabled	1.0.2
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Включение Azure Defender для службы хранилища

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.5 Ownership: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Необходимо включить Microsoft Defender для службы хранилища	Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами.	AuditIfNotExists, Disabled	1.0.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Включение Azure Defender для Kubernetes

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.6 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Microsoft Defender для контейнеров должен быть включен	Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках.	AuditIfNotExists, Disabled	1.0.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Включение Azure Defender для реестров контейнеров

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.7 Владения: Общие сведения

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Microsoft Defender для контейнеров должен быть включен	Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках.	AuditIfNotExists, Disabled	1.0.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Включение Azure Defender для Key Vault

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.8 Владение: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Azure Defender для Key Vault должен быть включен	Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей.	AuditIfNotExists, Disabled	1.0.3
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

Убедитесь, что выбрана интеграция ATP в Microsoft Defender с Центром безопасности

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.9 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Обнаружение сетевых служб, которые не были авторизованы или утверждены	CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0

3. Учетные записи хранения

Обеспечение того, что для параметра "Требуется безопасное перемещение" задано значение "Включено"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.1 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Настройка рабочих станций для проверки на наличие цифровых сертификатов	CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита паролей с помощью шифрования	CMA_0408 — Защита паролей с помощью шифрования	Вручную, отключено	1.1.0
Должно выполняться безопасное перемещение в учетные записи хранения	Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса.	Audit, Deny, Disabled	2.0.0

Убедитесь, что ведение журналов хранилища включено для запросов в службу BLOB-объектов на чтение, запись и удаление

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 3.10 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Настройка возможностей аудита Azure	CMA_C1108. Настройка возможностей аудита Azure	Вручную, отключено	1.1.1
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Убедитесь, что ведение журналов хранилища включено для запросов в службу таблиц на чтение, запись и удаление

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.11 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Настройка возможностей аудита Azure	CMA_C1108. Настройка возможностей аудита Azure	Вручную, отключено	1.1.1
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Убедитесь, что ключи доступа учетной записи хранения периодически создаются повторно

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.2 Ownership: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Определение физического процесса управления ключами	CMA_0115 — Определение физического процесса управления ключами	Вручную, отключено	1.1.0
Определение использования шифрования	CMA_0120 — Определение использования шифрования	Вручную, отключено	1.1.0
Определение требований организации к управлению криптографическими ключами	CMA_0123 — Определение требований организации к управлению криптографическими ключами	Вручную, отключено	1.1.0
Определение требований к утверждению	CMA_0136 — Определение требований к утверждению	Вручную, отключено	1.1.0
Выдача сертификатов открытого ключа	CMA_0347 — Выдача сертификатов открытого ключа	Вручную, отключено	1.1.0
Управление симметричными криптографическими ключами	CMA_0367 — Управление симметричными криптографическими ключами	Вручную, отключено	1.1.0
Ограничение доступа к закрытым ключам	CMA_0445 — Ограничение доступа к закрытым ключам	Вручную, отключено	1.1.0

Убедитесь, что включено ведение журнала хранилища для запросов к службе очередей на чтение, запись и удаление

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.3 Ответственность: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Настройка возможностей аудита Azure	CMA_C1108. Настройка возможностей аудита Azure	Вручную, отключено	1.1.1
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Убедитесь, что срок действия маркеров подписи общего доступа истекает в течение часа

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.4 Ownership: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Отключение структур проверки подлинности при удалении	CMA_0169 — Отключение структур проверки подлинности при удалении	Вручную, отключено	1.1.0
Отзыв привилегированных ролей при необходимости	CMA_0483 — Отзыв привилегированных ролей при необходимости	Вручную, отключено	1.1.0
Автоматическое завершение сеанса пользователя	CMA_C1054 — Автоматическое завершение сеанса пользователя	Вручную, отключено	1.1.0

Обеспечение того, что для параметра "Уровень общего доступа" задано значение "Частный" для контейнеров BLOB-объектов

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 3.5 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен	Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария.	audit, Audit, deny, Deny, disabled, Disabled	3.1.0-preview
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Принудительный логический доступ	CMA_0245 — Принудительный логический доступ	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Требование утверждения для создания учетной записи	CMA_0431 — Требование утверждения для создания учетной записи	Вручную, отключено	1.1.0
Проверка групп пользователей и приложений с доступом к конфиденциальным данным	CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным	Вручную, отключено	1.1.0

Обеспечение того, что в правиле сетевого доступа по умолчанию для учетных записей хранения задано значение "Отклонить"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.6 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Учетные записи хранения должны ограничивать доступ к сети.	Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов.	Audit, Deny, Disabled	1.1.1
Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети	Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения.	Audit, Deny, Disabled	1.0.1

Убедитесь что для доступа к учетной записи хранения включен параметр "Доверенные службы Майкрософт"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.7 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Управление потоком информации	CMA_0079 — Управление потоком информации	Вручную, отключено	1.1.0
Применение механизмов управления потоком зашифрованных данных	CMA_0211 — Применение механизмов управления потоком зашифрованных данных	Вручную, отключено	1.1.0
Установка стандартов конфигурации брандмауэра и маршрутизатора	CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора	Вручную, отключено	1.1.0
Создание сегментации сети для среды данных держателей карт	CMA_0273 — Создание сегментации сети для среды данных держателей карт	Вручную, отключено	1.1.0
Определение обмена нисходящими данными и управление им	CMA_0298 — Определение обмена нисходящими данными и управление им	Вручную, отключено	1.1.0
Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт	Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения.	Audit, Deny, Disabled	1.0.0

Обеспечение того, что хранилище важных данных зашифровано с помощью ключа, управляемого клиентом

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 3.9 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Создание процедуры управления утечкой данных	CMA_0255 — Создание процедуры управления утечкой данных	Вручную, отключено	1.1.0
Реализация элементов управления для защиты всех носителей	CMA_0314 — Реализация элементов управления для защиты всех носителей	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита специальной информации	CMA_0409 — Защита специальной информации	Вручную, отключено	1.1.0
В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования	Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных.	Audit, Disabled	1.0.3

4. Службы баз данных

Обеспечение того, что для параметра "Аудит" задано значение "Вкл."

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.1.1 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Необходимо включить аудит на сервере SQL	Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server.	AuditIfNotExists, Disabled	2.0.0
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Обеспечение того, что для параметра "Шифрование данных" в Базе данных SQL установлено значение "Вкл."

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.1.2: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Создание процедуры управления утечкой данных	CMA_0255 — Создание процедуры управления утечкой данных	Вручную, отключено	1.1.0
Реализация элементов управления для защиты всех носителей	CMA_0314 — Реализация элементов управления для защиты всех носителей	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита специальной информации	CMA_0409 — Защита специальной информации	Вручную, отключено	1.1.0
В базах данных SQL должно применяться прозрачное шифрование данных	Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных.	AuditIfNotExists, Disabled	2.0.0

Обеспечение того, что задан период хранения данных аудита более 90 дней

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.1.3 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Соблюдение заданных периодов хранения	CMA_0004 — Соблюдение заданных периодов хранения	Вручную, отключено	1.1.0
Управление действиями по обработке данных аудита и их мониторинг	CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг	Вручную, отключено	1.1.0
Сохранение политик и процедур безопасности	CMA_0454 — Сохранение политик и процедур безопасности	Вручную, отключено	1.1.0
Сохранение данных удаленных пользователей	CMA_0455 — Сохранение данных удаленных пользователей	Вручную, отключено	1.1.0
Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более	Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам.	AuditIfNotExists, Disabled	3.0.0

Обеспечение того, что для службы "Расширенная защита от угроз" на SQL сервере установлено значение "Включено"

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.2.1 Ответственность: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL	Аудит серверов SQL без Расширенной защиты данных	AuditIfNotExists, Disabled	2.0.1
Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL	Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных.	AuditIfNotExists, Disabled	1.0.2
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0

Обеспечение того, что оценка уязвимостей включена на сервере SQL путем задания учетной записи хранения

Идентификатор: рекомендация 4.2.2.2.2 Benchmark cis для платформы CIS: shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0
В Управляемых экземплярах SQL должна быть включена оценка уязвимостей	Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных.	AuditIfNotExists, Disabled	1.0.1
На серверах SQL Server должна быть включена оценка уязвимости	Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных.	AuditIfNotExists, Disabled	3.0.0

Убедитесь, что параметр оценки уязвимостей "Периодически повторяющиеся проверки" включен на сервере SQL

Идентификатор: рекомендация 4.2.3 По обеспечению владения cis Microsoft Azure Foundations Benchmark: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0

Обеспечение того, что параметр оценки уязвимости "Куда отправлять отчеты о проверке" настроен для сервера SQL

Идентификатор: рекомендация 4.2.4 Владения cis Microsoft Azure Foundations Benchmark: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Корреляция сведений об проверке уязвимостей	CMA_C1558 . Сопоставление сведений об проверке уязвимостей	Вручную, отключено	1.1.1
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0

Убедитесь, что параметр "Также отправлять уведомления по электронной почте администраторам и владельцам подписок" настроен для сервера SQL

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.2.5: shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Корреляция сведений об проверке уязвимостей	CMA_C1558 . Сопоставление сведений об проверке уязвимостей	Вручную, отключено	1.1.1
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0

Обеспечение того, что параметр "Принудительно использовать SSL-соединение" включен для сервера баз данных PostgreSQL

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.3.1 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Настройка рабочих станций для проверки на наличие цифровых сертификатов	CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов	Вручную, отключено	1.1.0
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения	База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных.	Audit, Disabled	1.0.1
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита паролей с помощью шифрования	CMA_0408 — Защита паролей с помощью шифрования	Вручную, отключено	1.1.0

Обеспечение того, что параметр "Принудительно использовать SSL-соединение" включен для сервера баз данных MySQL

Идентификатор: рекомендация 4.3.2 По обеспечению владения cis Microsoft Azure Foundations Benchmark: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Настройка рабочих станций для проверки на наличие цифровых сертификатов	CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов	Вручную, отключено	1.1.0
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения	База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных.	Audit, Disabled	1.0.1
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита паролей с помощью шифрования	CMA_0408 — Защита паролей с помощью шифрования	Вручную, отключено	1.1.0

Обеспечение того, что параметр log_checkpoints включен для сервера базы данных PostgreSQL

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.3.3 Ответственность: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
На серверах баз данных PostgreSQL должны быть включены контрольные точки журнала	Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, в которых не включен параметр log_checkpoints.	AuditIfNotExists, Disabled	1.0.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Обеспечение того, что параметр log_connections включен для сервера базы данных PostgreSQL

Идентификатор: рекомендация 4.3.4 Владения cis Microsoft Azure Foundations Benchmark: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
На серверах баз данных PostgreSQL должны быть включены журналы подключений	Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_connections.	AuditIfNotExists, Disabled	1.0.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Обеспечение того, что параметр log_disconnections включен для сервера базы данных PostgreSQL

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.3.5 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
На серверах баз данных PostgreSQL должны быть включены журналы отключений.	Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_disconnections.	AuditIfNotExists, Disabled	1.0.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Обеспечение того, что параметр connection_throttling включен для сервера базы данных PostgreSQL

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.3.6: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Для серверов баз данных PostgreSQL должно быть включено регулирование подключения	Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включено регулирование подключения. Этот параметр обеспечивает временное регулирование подключений по IP-адресу при слишком большом числе неудачных попыток входа с паролем.	AuditIfNotExists, Disabled	1.0.0
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Убедитесь, что параметр сервера "log_retention_days" для сервера базы данных PostgreSQL имеет значение больше 3 дней

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.3.7 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Соблюдение заданных периодов хранения	CMA_0004 — Соблюдение заданных периодов хранения	Вручную, отключено	1.1.0
Управление действиями по обработке данных аудита и их мониторинг	CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг	Вручную, отключено	1.1.0
Сохранение политик и процедур безопасности	CMA_0454 — Сохранение политик и процедур безопасности	Вручную, отключено	1.1.0
Сохранение данных удаленных пользователей	CMA_0455 — Сохранение данных удаленных пользователей	Вручную, отключено	1.1.0

Убедитесь, что параметр "Разрешить доступ к службам Azure" для сервера базы данных PostgreSQL отключен

Идентификатор: рекомендация 4.3.8 По обеспечению владения cis Microsoft Azure Foundations Benchmark: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Управление потоком информации	CMA_0079 — Управление потоком информации	Вручную, отключено	1.1.0
Применение механизмов управления потоком зашифрованных данных	CMA_0211 — Применение механизмов управления потоком зашифрованных данных	Вручную, отключено	1.1.0
Установка стандартов конфигурации брандмауэра и маршрутизатора	CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора	Вручную, отключено	1.1.0
Создание сегментации сети для среды данных держателей карт	CMA_0273 — Создание сегментации сети для среды данных держателей карт	Вручную, отключено	1.1.0
Определение обмена нисходящими данными и управление им	CMA_0298 — Определение обмена нисходящими данными и управление им	Вручную, отключено	1.1.0

Обеспечение того, что администратор Azure Active Directory настроен

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.4 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Для серверов SQL должен быть подготовлен администратор Azure Active Directory	Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт.	AuditIfNotExists, Disabled	1.0.0
Автоматизация управления учетными записями	CMA_0026 — Автоматизация управления учетными записями	Вручную, отключено	1.1.0
Управление системной учетной записью и учетной записью администратора	CMA_0368 — Управление системной учетной записью и учетной записью администратора	Вручную, отключено	1.1.0
Мониторинг доступа в организации	CMA_0376 — Мониторинг доступа в организации	Вручную, отключено	1.1.0
Уведомление о том, что учетная запись не требуется	CMA_0383 — Уведомление о том, что учетная запись не требуется	Вручную, отключено	1.1.0

Обеспечение того, что предохранитель TDE сервера SQL зашифрован с помощью ключа, управляемого клиентом

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.5 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Создание процедуры управления утечкой данных	CMA_0255 — Создание процедуры управления утечкой данных	Вручную, отключено	1.1.0
Реализация элементов управления для защиты всех носителей	CMA_0314 — Реализация элементов управления для защиты всех носителей	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита специальной информации	CMA_0409 — Защита специальной информации	Вручную, отключено	1.1.0
Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных	Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию.	Audit, Deny, Disabled	2.0.0
Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных	Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию.	Audit, Deny, Disabled	2.0.1

5. Ведение журналов и мониторинг

Убедитесь, что существует параметр диагностики

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.1 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0

Убедитесь, что параметр диагностики охватывает соответствующие категории

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.2 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Настройка возможностей аудита Azure	CMA_C1108. Настройка возможностей аудита Azure	Вручную, отключено	1.1.1
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Обеспечение того, что хранение журналов действий в контейнере хранилища не является общедоступным

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.3 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен	Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария.	audit, Audit, deny, Deny, disabled, Disabled	3.1.0-preview
Включение двойной или совместной авторизации	CMA_0226 — Включение двойной или совместной авторизации	Вручную, отключено	1.1.0
Защита данных аудита	CMA_0401 — Защита данных аудита	Вручную, отключено	1.1.0

Обеспечение того, что учетная запись хранения, содержащая контейнер с журналами действий, зашифрована с помощью BYOK

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.4 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Включение двойной или совместной авторизации	CMA_0226 — Включение двойной или совместной авторизации	Вручную, отключено	1.1.0
Поддержание целостности системы аудита	CMA_C1133 — Поддержание целостности системы аудита	Вручную, отключено	1.1.0
Защита данных аудита	CMA_0401 — Защита данных аудита	Вручную, отключено	1.1.0
Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK	Эта политика проверяет, зашифрована ли учетная запись хранения, содержащая контейнер с журналами действий, с помощью BYOK. Эта политика применяется только в том случае, если проект реализован так, что учетная запись хранения находится в той же подписке, что и журналы действий. Дополнительные сведения о шифровании неактивных данных в службе хранилища Azure см. на странице https://aka.ms/azurestoragebyok.	AuditIfNotExists, Disabled	1.0.0

Обеспечение того, что для параметр ведения журнала для Azure KeyVault включен

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.5 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
В Key Vault должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

Обеспечение того, что для операции создания назначения политики существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.1 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для определенных операций политики должно существовать оповещение журнала действий	Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	3.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Включение оповещения журнала действий для операции удаления назначения политики

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.2 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для определенных операций политики должно существовать оповещение журнала действий	Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	3.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Обеспечение того, что для операции создания или обновления группы безопасности сети существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.3 Ответственность: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий.	Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Обеспечение того, что для операции удаления группы безопасности сети существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.4 Ответственность: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий.	Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Обеспечение того, что для операции создания или обновления правила группы безопасности сети существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.5 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий.	Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Обеспечение того, что для операции удаления правила группы безопасности сети существует оповещение журнала действий

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 5.2.6 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий.	Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Обеспечение того, что для операции создания или обновления решения безопасности существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.7 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для определенных операций безопасности должно существовать оповещение журнала действий	Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Обеспечение того, что для операции удаления решения безопасности существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.8 Ответственность: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для определенных операций безопасности должно существовать оповещение журнала действий	Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Обеспечение того, что для операции создания, обновления или удаления правила брандмауэра SQL Server существует оповещение журнала действий

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.9 Ответственность: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Оповещение сотрудников об утечке информации	CMA_0007 — Оповещение сотрудников об утечке информации	Вручную, отключено	1.1.0
Для выполнения определенных административных операций должно существовать оповещение журнала действий.	Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.	AuditIfNotExists, Disabled	1.0.0
Разработка плана реагирования на инциденты	CMA_0145 — Разработка плана реагирования на инциденты	Вручную, отключено	1.1.0
Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	CMA_0495 — Установка автоматических уведомлений для новых и популярных облачных приложений в вашей организации	Вручную, отключено	1.1.0

Обеспечение включения журналов диагностики для всех служб, которые их поддерживают.

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.3 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Соблюдение заданных периодов хранения	CMA_0004 — Соблюдение заданных периодов хранения	Вручную, отключено	1.1.0
В приложениях Службы приложений должны быть включены журналы ресурсов	Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	2.0.1
Аудит привилегированных функций	CMA_0019 — Аудит привилегированных функций	Вручную, отключено	1.1.0
Аудит состояния учетной записи пользователя	CMA_0020 — Аудит состояния учетной записи пользователя	Вручную, отключено	1.1.0
Настройка возможностей аудита Azure	CMA_C1108. Настройка возможностей аудита Azure	Вручную, отключено	1.1.1
Определение событий для аудита	CMA_0137 — Определение событий для аудита	Вручную, отключено	1.1.0
Управление действиями по обработке данных аудита и их мониторинг	CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг	Вручную, отключено	1.1.0
В Azure Data Lake Storage должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
В Azure Stream Analytics должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
В учетных записях пакетной службы должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
В Data Lake Analytics должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
В Центре событий должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
В Центре Интернета вещей должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	3.1.0
В Key Vault должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
В Logic Apps должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.1.0
В службах "Поиск" должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
В Служебной шине должны быть включены журналы ресурсов	Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети.	AuditIfNotExists, Disabled	5.0.0
Сохранение политик и процедур безопасности	CMA_0454 — Сохранение политик и процедур безопасности	Вручную, отключено	1.1.0
Сохранение данных удаленных пользователей	CMA_0455 — Сохранение данных удаленных пользователей	Вручную, отключено	1.1.0
Проверка данных аудита	CMA_0466 — Проверка данных аудита	Вручную, отключено	1.1.0

6. Сеть

Убедитесь, что базы данных SQL разрешают входящий трафик с 0.0.0.0/0 (любой IP-адрес)

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 6.3 Ownership: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Управление потоком информации	CMA_0079 — Управление потоком информации	Вручную, отключено	1.1.0
Применение механизмов управления потоком зашифрованных данных	CMA_0211 — Применение механизмов управления потоком зашифрованных данных	Вручную, отключено	1.1.0

Убедитесь, что период хранения журнала потоков группы безопасности сети превышает 90 дней

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 6.4 Ownership: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Соблюдение заданных периодов хранения	CMA_0004 — Соблюдение заданных периодов хранения	Вручную, отключено	1.1.0
Сохранение политик и процедур безопасности	CMA_0454 — Сохранение политик и процедур безопасности	Вручную, отключено	1.1.0
Сохранение данных удаленных пользователей	CMA_0455 — Сохранение данных удаленных пользователей	Вручную, отключено	1.1.0

Обеспечение того, что служба "Наблюдатель за сетями" включена

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 6.5 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Необходимо включить Наблюдатель за сетями	Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе.	AuditIfNotExists, Disabled	3.0.0
Проверка функций безопасности	CMA_C1708 — Проверка функций безопасности	Вручную, отключено	1.1.0

7. Виртуальные машины

Обеспечение использование Управляемых дисков виртуальными машинами.

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.1 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Аудит виртуальных машин, которые не используют управляемые диски	Эта политика выполняет аудит виртуальных машин, которые не используют управляемые диски.	audit	1.0.0
Управление физическим доступом	CMA_0081 — Управление физическим доступом	Вручную, отключено	1.1.0
Управление вводом, выводом, обработкой и хранением данных	CMA_0369 — Управление вводом, выводом, обработкой и хранением данных	Вручную, отключено	1.1.0
Просмотр действий меток и аналитики	CMA_0474 — Просмотр действий меток и аналитики	Вручную, отключено	1.1.0

Обеспечение шифрования дисков ОС и дисков данных с помощью ключа, управляемого клиентом.

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.2 Ownership: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Создание процедуры управления утечкой данных	CMA_0255 — Создание процедуры управления утечкой данных	Вручную, отключено	1.1.0
Реализация элементов управления для защиты всех носителей	CMA_0314 — Реализация элементов управления для защиты всех носителей	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита специальной информации	CMA_0409 — Защита специальной информации	Вручную, отключено	1.1.0
Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища	По умолчанию ОС и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски, кэши данных и данные, передаваемые между вычислениями и хранилищем, не шифруются. Не учитывайте эту рекомендацию, если используется шифрование на узле или если шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделах: "Шифрование Хранилища дисков Azure на стороне сервера": https://aka.ms/disksse, "Различные предложения для шифрования дисков": https://aka.ms/diskencryptioncomparison.	AuditIfNotExists, Disabled	2.0.3

Обеспечение шифрования неподключенных дисков с помощью ключа, управляемого клиентом.

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.3 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Создание процедуры управления утечкой данных	CMA_0255 — Создание процедуры управления утечкой данных	Вручную, отключено	1.1.0
Реализация элементов управления для защиты всех носителей	CMA_0314 — Реализация элементов управления для защиты всех носителей	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита специальной информации	CMA_0409 — Защита специальной информации	Вручную, отключено	1.1.0

Обеспечение того, что установлены только утвержденные расширения

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.4 Ownership: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Должны быть установлены только утвержденные расширения виртуальных машин	Эта политика управляет неутвержденными расширениями виртуальных машин.	Audit, Deny, Disabled	1.0.0

Обеспечение того, что для всех виртуальных машин установлены последние исправления ОС

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.5 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0
На компьютерах должны быть установлены обновления системы	Отсутствие обновлений системы безопасности на серверах будет отслеживаться центром безопасности Azure для предоставления рекомендаций.	AuditIfNotExists, Disabled	4.0.0

Обеспечение того, что защита конечной точки установлена для всех виртуальных машин

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.6 Ownership: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Блокировать ненадежные и неподписанные процессы, выполняемые из USB	CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB	Вручную, отключено	1.1.0
Документирование операций по обеспечению безопасности	CMA_0202 — Документирование операций по обеспечению безопасности	Вручную, отключено	1.1.0
Управление шлюзами	CMA_0363 — Управление шлюзами	Вручную, отключено	1.1.0
Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure	Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций.	AuditIfNotExists, Disabled	3.0.0
Выполнение анализа тенденций угроз	CMA_0389 — Выполнение анализа тенденций угроз	Вручную, отключено	1.1.0
Проверка на наличие уязвимостей	CMA_0393 — Проверка на наличие уязвимостей	Вручную, отключено	1.1.0
Еженедельная проверка отчета об обнаружении вредоносных программ	CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ	Вручную, отключено	1.1.0
Еженедельная проверка состояния защиты от угроз	CMA_0479 — Еженедельная проверка состояния защиты от угроз	Вручную, отключено	1.1.0
Включение датчиков для решения безопасности конечной точки	CMA_0514 — Включение датчиков для решения безопасности конечной точки	Вручную, отключено	1.1.0
Обновление определений антивирусной программы	CMA_0517 — Обновление определений для антивирусного ПО	Вручную, отключено	1.1.0
Проверка программного обеспечения, встроенного ПО и целостности данных	CMA_0542 — Проверка программного обеспечения, встроенного ПО и целостности данных	Вручную, отключено	1.1.0

Убедитесь, что виртуальный жесткий диск (VHD) зашифрован

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.7 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Создание процедуры управления утечкой данных	CMA_0255 — Создание процедуры управления утечкой данных	Вручную, отключено	1.1.0
Реализация элементов управления для защиты всех носителей	CMA_0314 — Реализация элементов управления для защиты всех носителей	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита специальной информации	CMA_0409 — Защита специальной информации	Вручную, отключено	1.1.0

8. Прочие вопросы по безопасности

Обеспечение того, что дата окончания срока действия задана для всех ключей

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.1 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Определение физического процесса управления ключами	CMA_0115 — Определение физического процесса управления ключами	Вручную, отключено	1.1.0
Определение использования шифрования	CMA_0120 — Определение использования шифрования	Вручную, отключено	1.1.0
Определение требований организации к управлению криптографическими ключами	CMA_0123 — Определение требований организации к управлению криптографическими ключами	Вручную, отключено	1.1.0
Определение требований к утверждению	CMA_0136 — Определение требований к утверждению	Вручную, отключено	1.1.0
Выдача сертификатов открытого ключа	CMA_0347 — Выдача сертификатов открытого ключа	Вручную, отключено	1.1.0
Для ключей Key Vault должна быть задана дата окончания срока действия	Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия.	Audit, Deny, Disabled	1.0.2
Управление симметричными криптографическими ключами	CMA_0367 — Управление симметричными криптографическими ключами	Вручную, отключено	1.1.0
Ограничение доступа к закрытым ключам	CMA_0445 — Ограничение доступа к закрытым ключам	Вручную, отключено	1.1.0

Обеспечение того, что дата окончания срока действия задана для всех секретов

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.2 Ownership: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Определение физического процесса управления ключами	CMA_0115 — Определение физического процесса управления ключами	Вручную, отключено	1.1.0
Определение использования шифрования	CMA_0120 — Определение использования шифрования	Вручную, отключено	1.1.0
Определение требований организации к управлению криптографическими ключами	CMA_0123 — Определение требований организации к управлению криптографическими ключами	Вручную, отключено	1.1.0
Определение требований к утверждению	CMA_0136 — Определение требований к утверждению	Вручную, отключено	1.1.0
Выдача сертификатов открытого ключа	CMA_0347 — Выдача сертификатов открытого ключа	Вручную, отключено	1.1.0
Для секретов Key Vault должна быть задана дата окончания срока действия	Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия.	Audit, Deny, Disabled	1.0.2
Управление симметричными криптографическими ключами	CMA_0367 — Управление симметричными криптографическими ключами	Вручную, отключено	1.1.0
Ограничение доступа к закрытым ключам	CMA_0445 — Ограничение доступа к закрытым ключам	Вручную, отключено	1.1.0

Убедитесь, что для важных ресурсов Azure настроены блокировки ресурсов

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 8.3 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Внедрение и документирование процессов управления изменениями	CMA_0265 — Внедрение и документирование процессов управления изменениями	Вручную, отключено	1.1.0

Обеспечение того, что хранилище ключей поддерживает восстановление

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.4 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
В хранилищах ключей должна быть включена защита от удаления	Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление.	Audit, Deny, Disabled	2.1.0
Поддержание доступности информации	CMA_C1644 — Поддержание доступности информации	Вручную, отключено	1.1.0

Включение управления доступом на основе ролей (RBAC) в службе Azure Kubernetes

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.5 Ownership: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Авторизация доступа к функциям безопасности и информации о безопасности	CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности	Вручную, отключено	1.1.0
Авторизация и управление доступом	CMA_0023 — Авторизация и управление доступом	Вручную, отключено	1.1.0
Контроль доступа на основе ролей Azure (RBAC) следует использовать в службах Kubernetes	Чтобы обеспечить детализированную фильтрацию действий, которые могут выполнять пользователи, используйте контроль доступа на основе ролей Azure (RBAC) для управления разрешениями в кластерах служб Kubernetes и настройке соответствующих политик авторизации.	Audit, Disabled	1.0.3
Принудительный логический доступ	CMA_0245 — Принудительный логический доступ	Вручную, отключено	1.1.0
Принудительное применение обязательных и избирательных политик управления доступом	CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом	Вручную, отключено	1.1.0
Требование утверждения для создания учетной записи	CMA_0431 — Требование утверждения для создания учетной записи	Вручную, отключено	1.1.0
Проверка групп пользователей и приложений с доступом к конфиденциальным данным	CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным	Вручную, отключено	1.1.0

9. Служба приложений

Обеспечение того, что для Службы приложений Azure задана проверка подлинности в Службе приложений Azure

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.1 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
В приложениях Службы приложений должна быть включена проверка подлинности	Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к веб-приложению для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами.	AuditIfNotExists, Disabled	2.0.1
Аутентификация в криптографическом модуле	CMA_0021 — Аутентификация в криптографическом модуле	Вручную, отключено	1.1.0
Принудительное обеспечение уникальности пользователей	CMA_0250 — Принудительное обеспечение уникальности пользователей	Вручную, отключено	1.1.0
В приложениях-функциях должна быть включена проверка подлинности	Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к приложению-функции для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами.	AuditIfNotExists, Disabled	3.0.0
Поддержка личных учетных данных для проверки, выданных юридическими органами	CMA_0507 — Поддержка личных учетных данных для проверки, выданных юридическими органами	Вручную, отключено	1.1.0

Обеспечение того, что развертывания FTP отключены

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 9.10 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Приложения Службы приложений должны требовать только FTPS	Включите принудительное использование FTPS для повышения безопасности.	AuditIfNotExists, Disabled	3.0.0
Настройка рабочих станций для проверки на наличие цифровых сертификатов	CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов	Вручную, отключено	1.1.0
Приложения-функции должны требовать только FTPS	Включите принудительное использование FTPS для повышения безопасности.	AuditIfNotExists, Disabled	3.0.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита паролей с помощью шифрования	CMA_0408 — Защита паролей с помощью шифрования	Вручную, отключено	1.1.0

Убедитесь, что Azure Key Vault используется для хранения секретов

Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 9.11 : Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Определение физического процесса управления ключами	CMA_0115 — Определение физического процесса управления ключами	Вручную, отключено	1.1.0
Определение использования шифрования	CMA_0120 — Определение использования шифрования	Вручную, отключено	1.1.0
Определение требований организации к управлению криптографическими ключами	CMA_0123 — Определение требований организации к управлению криптографическими ключами	Вручную, отключено	1.1.0
Определение требований к утверждению	CMA_0136 — Определение требований к утверждению	Вручную, отключено	1.1.0
Охват механизмов шифрования системой управления конфигурацией	CMA_C1199 — Охват механизмов шифрования системой управления конфигурацией	Вручную, отключено	1.1.0
Выдача сертификатов открытого ключа	CMA_0347 — Выдача сертификатов открытого ключа	Вручную, отключено	1.1.0
Поддержание доступности информации	CMA_C1644 — Поддержание доступности информации	Вручную, отключено	1.1.0
Управление симметричными криптографическими ключами	CMA_0367 — Управление симметричными криптографическими ключами	Вручную, отключено	1.1.0
Ограничение доступа к закрытым ключам	CMA_0445 — Ограничение доступа к закрытым ключам	Вручную, отключено	1.1.0

Обеспечение того, что веб-приложение перенаправляет весь трафик HTTP на HTTPS в Службе приложений Azure

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.2 Ownership: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS	Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне.	Audit, Disabled, Deny	4.0.0
Настройка рабочих станций для проверки на наличие цифровых сертификатов	CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов	Вручную, отключено	1.1.0
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита паролей с помощью шифрования	CMA_0408 — Защита паролей с помощью шифрования	Вручную, отключено	1.1.0

Проверка использования последней версии шифрования TLS в веб-приложении

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.3 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Приложения Службы приложений должны использовать последнюю версию TLS	Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии.	AuditIfNotExists, Disabled	2.0.1
Настройка рабочих станций для проверки на наличие цифровых сертификатов	CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов	Вручную, отключено	1.1.0
Приложения-функции должны использовать последнюю версию TLS	Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии.	AuditIfNotExists, Disabled	2.0.1
Защита данных при передаче с помощью шифрования	CMA_0403 — Защита данных при передаче с помощью шифрования	Вручную, отключено	1.1.0
Защита паролей с помощью шифрования	CMA_0408 — Защита паролей с помощью шифрования	Вручную, отключено	1.1.0

Параметр "Сертификаты клиента (входящие сертификаты клиента)" для веб-приложения должен иметь значение "Вкл."

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.4 Ownership: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
[Не рекомендуется]: приложения-функции должны иметь значение "Сертификаты клиента (Входящие сертификаты клиента)"	Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов.	Audit, Disabled	3.1.0-устаревший
Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента)	Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1.	AuditIfNotExists, Disabled	1.0.0
Аутентификация в криптографическом модуле	CMA_0021 — Аутентификация в криптографическом модуле	Вручную, отключено	1.1.0

В службе приложений должна быть включена регистрация в Azure Active Directory

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.5 Ответственность: Общий доступ

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Приложения Службы приложений должны использовать управляемое удостоверение	Используйте управляемое удостоверение для повышения безопасности проверки подлинности.	AuditIfNotExists, Disabled	3.0.0
Автоматизация управления учетными записями	CMA_0026 — Автоматизация управления учетными записями	Вручную, отключено	1.1.0
Приложения-функции должны использовать управляемое удостоверение	Используйте управляемое удостоверение для повышения безопасности проверки подлинности.	AuditIfNotExists, Disabled	3.0.0
Управление системной учетной записью и учетной записью администратора	CMA_0368 — Управление системной учетной записью и учетной записью администратора	Вручную, отключено	1.1.0
Мониторинг доступа в организации	CMA_0376 — Мониторинг доступа в организации	Вручную, отключено	1.1.0
Уведомление о том, что учетная запись не требуется	CMA_0383 — Уведомление о том, что учетная запись не требуется	Вручную, отключено	1.1.0

В веб-приложении должна использоваться последняя версия PHP

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.6 Ответственность: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0

В веб-приложении должна использоваться последняя версия Python

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.7 Ownership: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0

В веб-приложении должна использоваться последняя версия Java

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.8 Ответственность: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0

В веб-приложении должна использоваться последняя версия HTTP

Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.9 Ответственность: Shared

Имя. (портал Azure)	Description	Действие	Версия (GitHub)
Приложения Службы приложений должны использовать последнюю версию HTTP	Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP.	AuditIfNotExists, Disabled	4.0.0
Приложения-функции должны использовать последнюю версию HTTP	Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP.	AuditIfNotExists, Disabled	4.0.0
Устранение недостатков информационной системы	CMA_0427 — Устранение недостатков информационной системы	Вручную, отключено	1.1.0

Следующие шаги

Дополнительные статьи о Политике Azure:

• Обзор соответствия нормативным требованиям.
• См. структуру определения инициативы.
• См. другие примеры шаблонов для Политики Azure.
• Изучите сведения о действии политик.
• Узнайте, как исправлять несоответствующие ресурсы.