Подробные сведения о встроенной инициативе о соответствии нормативным требованиям теста производительности CIS для платформ Microsoft AzureDetails of the CIS Microsoft Azure Foundations Benchmark Regulatory Compliance built-in initiative

В следующей статье подробно описано, как определение встроенной инициативы о соответствии нормативным требованиям Политики Azure сопоставляется с областями соответствия нормативным требованиям и элементами управления в тестах CIS оценки безопасности для платформ Microsoft Azure.The following article details how the Azure Policy Regulatory Compliance built-in initiative definition maps to compliance domains and controls in CIS Microsoft Azure Foundations Benchmark. Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure.For more information about this compliance standard, see CIS Microsoft Azure Foundations Benchmark. Сведения о термине Ответственный см. в статьях Определение службы "Политика Azure" и Разделение ответственности в облаке.To understand Ownership, see Azure Policy policy definition and Shared responsibility in the cloud.

Ниже приведены сопоставления соответствующие элементам управления Теста производительности CIS для платформ Microsoft Azure v1.1.0.The following mappings are to the CIS Microsoft Azure Foundations Benchmark controls. Используйте панель навигации справа для перехода непосредственно к конкретной области соответствия нормативным требованиям.Use the navigation on the right to jump directly to a specific compliance domain. Многие элементы управления реализуются с помощью определения инициативы Политики Azure.Many of the controls are implemented with an Azure Policy initiative definition. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения.To review the complete initiative definition, open Policy in the Azure portal and select the Definitions page. Затем найдите и выберите определение встроенной инициативы о соответствии требованиям теста производительности CIS для платформ Microsoft Azure версии 1.1.0.Then, find and select the CIS Microsoft Azure Foundations Benchmark 1.1.0 Regulatory Compliance built-in initiative definition.

Эта встроенная инициатива развертывается в составе примера схемы CIS для оценки безопасности для платформ Microsoft Azure.This built-in initiative is deployed as part of the CIS Microsoft Azure Foundations Benchmark blueprint sample.

Важно!

Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure.Each control below is associated with one or more Azure Policy definitions. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует.These policies may help you assess compliance with the control; however, there often is not a 1:1 or complete match between a control and one or more policies. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления.As such, Compliant in Azure Policy refers only to the policy definitions themselves; this doesn't ensure you're fully compliant with all requirements of a control. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure.In addition, the compliance standard includes controls that aren't addressed by any Azure Policy definitions at this time. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия.Therefore, compliance in Azure Policy is only a partial view of your overall compliance status. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться.The associations between compliance domains, controls, and Azure Policy definitions for this compliance standard may change over time. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.To view the change history, see the GitHub Commit History.

Управление удостоверениями и доступомIdentity and Access Management

Обеспечение того, что многофакторная проверка подлинности включена для всех привилегированных пользователейEnsure that multi-factor authentication is enabled for all privileged users

Идентификатор. CIS Azure 1.1 Ответственный: CustomerID: CIS Azure 1.1 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для учетных записей с разрешениями на запись в вашей подписке должна быть включена многофакторная проверка подлинностиMFA should be enabled accounts with write permissions on your subscription Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with write privileges to prevent a breach of accounts or resources. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
Для учетных записей с разрешениями владельца в вашей подписке должна быть включена многофакторная проверка подлинностиMFA should be enabled on accounts with owner permissions on your subscription Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with owner permissions to prevent a breach of accounts or resources. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что многофакторная проверка подлинности включена для всех непривилегированных пользователейEnsure that multi-factor authentication is enabled for all non-privileged users

Идентификатор. CIS Azure 1.2 Ответственный: CustomerID: CIS Azure 1.2 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для учетных записей с разрешениями на чтение в вашей подписке должна быть включена многофакторная проверка подлинностиMFA should be enabled on accounts with read permissions on your subscription Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов.Multi-Factor Authentication (MFA) should be enabled for all subscription accounts with read privileges to prevent a breach of accounts or resources. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что гостевых пользователей не существуетEnsure that there are no guest users

Идентификатор. CIS Azure 1.3 Ответственный: CustomerID: CIS Azure 1.3 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Внешние учетные записи с разрешениями владельца должны быть удалены из подпискиExternal accounts with owner permissions should be removed from your subscription Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ.External accounts with owner permissions should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
Внешние учетные записи с разрешениями на чтение должны быть удалены из подпискиExternal accounts with read permissions should be removed from your subscription Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ.External accounts with read privileges should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
Внешние учетные записи с разрешениями на запись должны быть удалены из подпискиExternal accounts with write permissions should be removed from your subscription Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ.External accounts with write privileges should be removed from your subscription in order to prevent unmonitored access. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что роли владельца пользовательской подписки не созданыEnsure that no custom subscription owner roles are created

Идентификатор. CIS Azure 1.23 Ответственный: CustomerID: CIS Azure 1.23 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Роли владельца пользовательской подписки не должны существоватьCustom subscription owner roles should not exist Эта политика позволяет исключить наличие ролей владельца пользовательской подписки.This policy ensures that no custom subscription owner roles exist. Audit, DisabledAudit, Disabled 2.0.02.0.0

Центр безопасностиSecurity Center

Обеспечение того, что включен параметр "Автоматическая подготовка агента мониторинга"Ensure that 'Automatic provisioning of monitoring agent' is set to 'On'

Идентификатор. CIS Azure 2.2 Ответственный: CustomerID: CIS Azure 2.2 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
В вашей подписке необходимо включить автоматическую подготовку агента мониторинга Log AnalyticsAutomatic provisioning of the Log Analytics monitoring agent should be enabled on your subscription Включите автоматическую подготовку агента мониторинга Log Analytics для сбора данных безопасностиEnable automatic provisioning of the Log Analytics monitoring agent in order to collect security data AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что параметр "Мониторинг обновлений системы" не имеет значение "Отключено" в политике ASC по умолчаниюEnsure ASC Default policy setting "Monitor System Updates" is not "Disabled"

Идентификатор. CIS Azure 2.3 Ответственный: CustomerID: CIS Azure 2.3 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
На компьютерах должны быть установлены обновления системыSystem updates should be installed on your machines Отсутствие обновлений системы безопасности на серверах будет отслеживаться центром безопасности Azure для предоставления рекомендаций.Missing security system updates on your servers will be monitored by Azure Security Center as recommendations AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что параметр "Мониторинг уязвимостей ОС" не имеет значение"Отключено" в политике ASC по умолчаниюEnsure ASC Default policy setting "Monitor OS Vulnerabilities" is not "Disabled"

Идентификатор. CIS Azure 2.4 Ответственный: CustomerID: CIS Azure 2.4 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Уязвимости конфигурации безопасности на ваших компьютерах должны быть устраненыVulnerabilities in security configuration on your machines should be remediated Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций.Servers which do not satisfy the configured baseline will be monitored by Azure Security Center as recommendations AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что параметр "Мониторинг Endpoint Protection" не имеет значение "Отключено" в политике ASC по умолчаниюEnsure ASC Default policy setting "Monitor Endpoint Protection" is not "Disabled"

Идентификатор. CIS Azure 2.5 Ответственный: CustomerID: CIS Azure 2.5 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Мониторинг отсутствия Endpoint Protection в Центре безопасности AzureMonitor missing Endpoint Protection in Azure Security Center Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций.Servers without an installed Endpoint Protection agent will be monitored by Azure Security Center as recommendations AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что параметр "Мониторинг шифрования дисков" не имеет значение "Отключено" в политике ASC по умолчаниюEnsure ASC Default policy setting "Monitor Disk Encryption" is not "Disabled"

Идентификатор. CIS Azure 2.6 Ответственный: CustomerID: CIS Azure 2.6 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
На виртуальных машинах должно применяться шифрование дисковDisk encryption should be applied on virtual machines Виртуальные машины без шифрования дисков будут отслеживаться Центром безопасности Azure (это требование носит рекомендательный характер).Virtual machines without an enabled disk encryption will be monitored by Azure Security Center as recommendations. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 2.0.02.0.0

Обеспечение того, что параметр "Мониторинг групп безопасности сети" не имеет значение"Отключено" в политике ASC по умолчаниюEnsure ASC Default policy setting "Monitor Network Security Groups" is not "Disabled"

Идентификатор. CIS Azure 2.7 Ответственный: CustomerID: CIS Azure 2.7 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
На виртуальных машинах с выходом в Интернет должны применяться рекомендации Адаптивной защиты сети.Adaptive Network Hardening recommendations should be applied on internet facing virtual machines Центр безопасности Azure анализирует шаблоны трафика виртуальных машин, доступных через Интернет, и предоставляет рекомендации по правилам группы безопасности сети, которые уменьшают потенциальную область атаки.Azure Security Center analyzes the traffic patterns of Internet facing virtual machines and provides Network Security Group rule recommendations that reduce the potential attack surface AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что параметр "Включение мониторинга брандмауэра следующего поколения (NGFW)" не имеет значение "Отключено" в политике ASC по умолчаниюEnsure ASC Default policy setting "Enable Next Generation Firewall(NGFW) Monitoring" is not "Disabled"

Идентификатор. CIS Azure 2.9 Ответственный: CustomerID: CIS Azure 2.9 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сетиInternet-facing virtual machines should be protected with network security groups Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG).Protect your virtual machines from potential threats by restricting access to them with network security groups (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети: https://aka.ms/nsg-doc.Learn more about controlling traffic with NSGs at https://aka.ms/nsg-doc AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.1.01.1.0
Подсети должны быть связаны с группой безопасности сети.Subnets should be associated with a Network Security Group Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG).Protect your subnet from potential threats by restricting access to it with a Network Security Group (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть.NSGs contain a list of Access Control List (ACL) rules that allow or deny network traffic to your subnet. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 2.0.02.0.0

Обеспечение того, что параметр "Мониторинг оценки уязвимостей" не имеет значение "Отключено" в политике ASC по умолчаниюEnsure ASC Default policy setting "Monitor Vulnerability Assessment" is not "Disabled"

Идентификатор. CIS Azure 2.10 Ответственный: CustomerID: CIS Azure 2.10 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Уязвимости должны быть устранены с помощью решения для оценки уязвимостейVulnerabilities should be remediated by a Vulnerability Assessment solution Отслеживает уязвимости, обнаруженные решением оценки уязвимости, и виртуальные машины без решения оценки уязвимости в центре безопасности Azure для предоставления рекомендаций.Monitors vulnerabilities detected by Vulnerability Assessment solution and VMs without a Vulnerability Assessment solution in Azure Security Center as recommendations. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что параметр "Мониторинг JIT-доступа к сети" не имеет значение "Отключено" в политике ASC по умолчаниюEnsure ASC Default policy setting "Monitor JIT Network Access" is not "Disabled"

Идентификатор. CIS Azure 2.12 Ответственный: CustomerID: CIS Azure 2.12 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сетиManagement ports of virtual machines should be protected with just-in-time network access control Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций.Possible network Just In Time (JIT) access will be monitored by Azure Security Center as recommendations AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.11.0.1

Обеспечение того, что параметр Monitor Adaptive Application Whitelisting (Мониторинг ведения адаптивного белого списка) не имеет значение "Отключено" в политике ASC по умолчаниюEnsure ASC Default policy setting "Monitor Adaptive Application Whitelisting" is not "Disabled"

Идентификатор. CIS Azure 2.13 Ответственный: CustomerID: CIS Azure 2.13 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложенийAdaptive application controls for defining safe applications should be enabled on your machines Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений.Enable application controls to define the list of known-safe applications running on your machines, and alert you when other applications run. Это поможет защитить компьютеры от вредоносных программ.This helps harden your machines against malware. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений.To simplify the process of configuring and maintaining your rules, Security Center uses machine learning to analyze the applications running on each machine and suggest the list of known-safe applications. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.21.0.2

Обеспечение того, что параметр "Мониторинг аудита SQL" не имеет значение "Отключено" в политике ASC по умолчаниюEnsure ASC Default policy setting "Monitor SQL Auditing" is not "Disabled"

Идентификатор. CIS Azure 2.14 Ответственный: CustomerID: CIS Azure 2.14 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Необходимо включить аудит на сервере SQLAuditing on SQL server should be enabled Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что параметр "Мониторинг шифрования SQL" не имеет значение "Отключено" в политике ASC по умолчаниюEnsure ASC Default policy setting "Monitor SQL Encryption" is not "Disabled"

Идентификатор. CIS Azure 2.15 Ответственный: CustomerID: CIS Azure 2.15 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
В базах данных SQL должно применяться прозрачное шифрование данныхTransparent Data Encryption on SQL databases should be enabled Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных.Transparent data encryption should be enabled to protect data-at-rest and meet compliance requirements AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что установлен параметр "Адреса электронной почты контактных лиц по вопросам безопасности"Ensure that 'Security contact emails' is set

Идентификатор. CIS Azure 2.16 Ответственный: CustomerID: CIS Azure 2.16 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для подписки нужно указать адрес электронной почты контактного лица по вопросам безопасностиA security contact email address should be provided for your subscription Введите адрес электронной почты для получения уведомлений при обнаружении скомпрометированных ресурсов в Центре безопасности AzureEnter an email address to receive notifications when Azure Security Center detects compromised resources AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что установлен параметр "Номер телефона" для контактного лица по вопросам безопасностиEnsure that security contact 'Phone number' is set

Идентификатор. CIS Azure 2.17 Ответственный: CustomerID: CIS Azure 2.17 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для подписки нужно указать номер телефона контактного лица по вопросам безопасностиA security contact phone number should be provided for your subscription Введите номер телефона для получения уведомлений при обнаружении скомпрометированных ресурсов в Центре безопасности AzureEnter a phone number to receive notifications when Azure Security Center detects compromised resources AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что включен параметр "Отправлять оповещения высокой серьезности по электронной почте"Ensure that 'Send email notification for high severity alerts' is set to 'On'

Идентификатор. CIS Azure 2.18 Ответственный: CustomerID: CIS Azure 2.18 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почтеEmail notification for high severity alerts should be enabled Включите отправку уведомлений по электронной почте контактному лицу по безопасности, чтобы он получал информацию об оповещениях системы безопасности от корпорации Майкрософт.Enable emailing security alerts to the security contact, in order to have them receive security alert emails from Microsoft. Это позволит нужным людям узнавать о потенциальных проблемах безопасности и принимать меры для снижения рисков.This ensures that the right people are aware of any potential security issues and are able to mitigate the risks AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что включен параметр "Также отправлять оповещения владельцам подписки"Ensure that 'Send email also to subscription owners' is set to 'On'

Идентификатор. CIS Azure 2.19 Ответственный: CustomerID: CIS Azure 2.19 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почтеEmail notification to subscription owner for high severity alerts should be enabled Включите отправку уведомлений по электронной почте владельцу подписки, чтобы он получал информацию об оповещениях системы безопасности от корпорации Майкрософт.Enable emailing security alerts to the subscription owner, in order to have them receive security alert emails from Microsoft. Это позволит им узнавать о потенциальных проблемах безопасности и своевременно принимать меры для снижения рисков.This ensures that they are aware of any potential security issues and can mitigate the risk in a timely fashion AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Учетные записи храненияStorage Accounts

Обеспечение того, что для параметра "Требуется безопасное перемещение" задано значение "Включено"Ensure that 'Secure transfer required' is set to 'Enabled'

Идентификатор. CIS Azure 3.1 Ответственный: CustomerID: CIS Azure 3.1 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Должно выполняться безопасное перемещение в учетные записи храненияSecure transfer to storage accounts should be enabled Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения.Audit requirement of Secure transfer in your storage account. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS).Secure transfer is an option that forces your storage account to accept requests only from secure connections (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса.Use of HTTPS ensures authentication between the server and the service and protects data in transit from network layer attacks such as man-in-the-middle, eavesdropping, and session-hijacking Audit, Deny, DisabledAudit, Deny, Disabled 2.0.02.0.0

Обеспечение того, что в правиле сетевого доступа по умолчанию для учетных записей хранения задано значение "Отклонить"Ensure default network access rule for Storage Accounts is set to deny

Идентификатор. CIS Azure 3.7 Ответственный: CustomerID: CIS Azure 3.7 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Учетные записи хранения должны ограничивать доступ к сети.Storage accounts should restrict network access Сетевой доступ к учетным записям хранения должен быть ограниченным.Network access to storage accounts should be restricted. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей.Configure network rules so only applications from allowed networks can access the storage account. Чтобы разрешить подключения от конкретных локальных и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или для определенных диапазонов общедоступных IP-адресов.To allow connections from specific internet or on-premise clients, access can be granted to traffic from specific Azure virtual networks or to public internet IP address ranges Audit, Deny, DisabledAudit, Deny, Disabled 1.1.01.1.0

Убедитесь что для доступа к учетной записи хранения включен параметр "Доверенные службы Майкрософт"Ensure 'Trusted Microsoft Services' is enabled for Storage Account access

Идентификатор. CIS Azure 3.8 Ответственный: CustomerID: CIS Azure 3.8 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Учетные записи хранения должны разрешать доступ из доверенных служб МайкрософтStorage accounts should allow access from trusted Microsoft services Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила.Some Microsoft services that interact with storage accounts operate from networks that can't be granted access through network rules. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила.To help this type of service work as intended, allow the set of trusted Microsoft services to bypass the network rules. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения.These services will then use strong authentication to access the storage account. Audit, Deny, DisabledAudit, Deny, Disabled 1.0.01.0.0

Службы баз данныхDatabase Services

Обеспечение того, что для параметра "Аудит" задано значение "Вкл."Ensure that 'Auditing' is set to 'On'

Идентификатор. CIS Azure 4.1 Ответственный: CustomerID: CIS Azure 4.1 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Необходимо включить аудит на сервере SQLAuditing on SQL server should be enabled Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server.Auditing on your SQL Server should be enabled to track database activities across all databases on the server and save them in an audit log. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что параметр AuditActionGroups в политике аудита для SQL-сервера установлен правильноEnsure that 'AuditActionGroups' in 'auditing' policy for a SQL server is set properly

Идентификатор. CIS Azure 4.2 Ответственный: CustomerID: CIS Azure 4.2 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
В параметрах аудита SQL необходимо настроить группы действий для записи критических действийSQL Auditing settings should have Action-Groups configured to capture critical activities Для подробного ведения журнала аудита свойство AuditActionsAndGroups должно включать как минимум следующие значения: SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP и BATCH_COMPLETED_GROUP.The AuditActionsAndGroups property should contain at least SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP to ensure a thorough audit logging AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что задан период хранения данных аудита более 90 днейEnsure that 'Auditing' Retention is 'greater than 90 days'

Идентификатор. CIS Azure 4.3 Ответственный: CustomerID: CIS Azure 4.3 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
На серверах SQL должен быть настроен период хранения данных аудита более 90 днейSQL servers should be configured with auditing retention days greater than 90 days. Аудит серверов SQL с настроенным периодом хранения данных аудита менее 90 дней.Audit SQL servers configured with an auditing retention period of less than 90 days. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что для параметра "Расширенная защита данных" на сервере SQL задано значение "Вкл."Ensure that 'Advanced Data Security' on a SQL server is set to 'On'

Идентификатор. CIS Azure 4.4 Ответственный: CustomerID: CIS Azure 4.4 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
В Управляемом экземпляре SQL должна быть включена Расширенная защита данныхAdvanced data security should be enabled on SQL Managed Instance Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных.Audit each SQL Managed Instance without advanced data security. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.11.0.1
На серверах SQL должна быть включена Расширенная защита данныхAdvanced data security should be enabled on your SQL servers Аудит серверов SQL без Расширенной защиты данныхAudit SQL servers without Advanced Data Security AuditIfNotExists, DisabledAuditIfNotExists, Disabled 2.0.02.0.0

Обеспечение того, что администратор Azure Active Directory настроенEnsure that Azure Active Directory Admin is configured

Идентификатор. CIS Azure 4.8 Ответственный: CustomerID: CIS Azure 4.8 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для серверов SQL должен быть подготовлен администратор Azure Active DirectoryAn Azure Active Directory administrator should be provisioned for SQL servers Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD.Audit provisioning of an Azure Active Directory administrator for your SQL server to enable Azure AD authentication. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт.Azure AD authentication enables simplified permission management and centralized identity management of database users and other Microsoft services AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что для параметра "Шифрование данных" в Базе данных SQL установлено значение "Вкл."Ensure that 'Data encryption' is set to 'On' on a SQL Database

Идентификатор. CIS Azure 4.9 Ответственный: CustomerID: CIS Azure 4.9 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
В базах данных SQL должно применяться прозрачное шифрование данныхTransparent Data Encryption on SQL databases should be enabled Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных.Transparent data encryption should be enabled to protect data-at-rest and meet compliance requirements AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что предохранитель TDE сервера SQL зашифрован с помощью BYOK (используйте собственный ключ)Ensure SQL server's TDE protector is encrypted with BYOK (Use your own key)

Идентификатор. CIS Azure 4.10 Ответственный: CustomerID: CIS Azure 4.10 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Предохранитель TDE управляемого экземпляра SQL должен быть зашифрован вашим собственным ключомSQL Managed Instance TDE protector should be encrypted with your own key Прозрачное шифрование данных (TDE) с поддержкой ваших собственных ключей обеспечивает дополнительную прозрачность и контроль для предохранителя TDE, повышенную безопасность за счет внешней службы на базе HSM, а также способствует разделению обязанностей.Transparent Data Encryption (TDE) with your own key support provides increased transparency and control over the TDE Protector, increased security with an HSM-backed external service, and promotion of separation of duties. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.11.0.1
Предохранитель TDE сервера SQL должен быть зашифрован вашим собственным ключомSQL server TDE protector should be encrypted with your own key Прозрачное шифрование данных (TDE) с поддержкой ваших собственных ключей обеспечивает дополнительную прозрачность и контроль для предохранителя TDE, повышенную безопасность за счет внешней службы на базе HSM, а также способствует разделению обязанностей.Transparent Data Encryption (TDE) with your own key support provides increased transparency and control over the TDE Protector, increased security with an HSM-backed external service, and promotion of separation of duties. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что параметр "Принудительно использовать SSL-соединение" включен для сервера баз данных MySQLEnsure 'Enforce SSL connection' is set to 'ENABLED' for MySQL Database Server

Идентификатор. CIS Azure 4.11 Ответственный: CustomerID: CIS Azure 4.11 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединенияEnforce SSL connection should be enabled for MySQL database servers Эта политика выполняет аудит всех серверов MySQL, на которых не применяется SSL-соединение принудительно.This policy audits any MySQL server that is not enforcing SSL connection. База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer).Azure Database for MySQL supports connecting your Azure Database for MySQL server to client applications using Secure Sockets Layer (SSL). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением.Enforcing SSL connections between your database server and your client applications helps protect against 'man in the middle' attacks by encrypting the data stream between the server and your application. Audit, DisabledAudit, Disabled 1.0.01.0.0

Обеспечение того, что параметр log_checkpoints включен для сервера базы данных PostgreSQLEnsure server parameter 'log_checkpoints' is set to 'ON' for PostgreSQL Database Server

Идентификатор. CIS Azure 4.12 Ответственный: CustomerID: CIS Azure 4.12 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
На серверах баз данных PostgreSQL должны быть включены контрольные точки журналаLog checkpoints should be enabled for PostgreSQL database servers Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, в которых не включен параметр log_checkpoints.This policy helps audit any PostgreSQL databases in your environment without log_checkpoints setting enabled. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что параметр "Принудительно использовать SSL-соединение" включен для сервера баз данных PostgreSQLEnsure 'Enforce SSL connection' is set to 'ENABLED' for PostgreSQL Database Server

Идентификатор. CIS Azure 4.13 Ответственный: CustomerID: CIS Azure 4.13 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединенияEnforce SSL connection should be enabled for PostgreSQL database servers Эта политика выполняет аудит всех серверов PostgreSQL, которые не применяют SSL-соединение принудительно.This policy audits any PostgreSQL server that is not enforcing SSL connection. База данных Azure для PostgreSQL предпочитает подключать клиентские приложения к службе PostgreSQL с помощью SSL (Secure Sockets Layer).Azure Database for PostgreSQL prefers connecting your client applications to the PostgreSQL service using Secure Sockets Layer (SSL). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением.Enforcing SSL connections between your database server and your client applications helps protect against 'man-in-the-middle' attacks by encrypting the data stream between the server and your application Audit, DisabledAudit, Disabled 1.0.01.0.0

Обеспечение того, что параметр log_connections включен для сервера базы данных PostgreSQLEnsure server parameter 'log_connections' is set to 'ON' for PostgreSQL Database Server

Идентификатор. CIS Azure 4.14 Ответственный: CustomerID: CIS Azure 4.14 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
На серверах баз данных PostgreSQL должны быть включены журналы подключенийLog connections should be enabled for PostgreSQL database servers Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_connections.This policy helps audit any PostgreSQL databases in your environment without log_connections setting enabled. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что параметр log_disconnections включен для сервера базы данных PostgreSQLEnsure server parameter 'log_disconnections' is set to 'ON' for PostgreSQL Database Server

Идентификатор. CIS Azure 4.15 Ответственный: CustomerID: CIS Azure 4.15 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
На серверах баз данных PostgreSQL должны быть включены журналы отключений.Disconnections should be logged for PostgreSQL database servers. Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_disconnections.This policy helps audit any PostgreSQL databases in your environment without log_disconnections enabled. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что параметр connection_throttling включен для сервера базы данных PostgreSQLEnsure server parameter 'connection_throttling' is set to 'ON' for PostgreSQL Database Server

Идентификатор. CIS Azure 4.17 Ответственный: CustomerID: CIS Azure 4.17 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для серверов баз данных PostgreSQL должно быть включено регулирование подключенияConnection throttling should be enabled for PostgreSQL database servers Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включено регулирование подключения.This policy helps audit any PostgreSQL databases in your environment without Connection throttling enabled. Этот параметр обеспечивает временное регулирование подключений по IP-адресу при слишком большом числе неудачных попыток входа с паролем.This setting enables temporary connection throttling per IP for too many invalid password login failures. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Ведение журналов и мониторингLogging and Monitoring

Обеспечение того, что существует профиль журналаEnsure that a Log Profile exists

Идентификатор. CIS Azure 5.1.1 Ответственный: CustomerID: CIS Azure 5.1.1 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Подписки Azure должны иметь профиль журнала для журнала действийAzure subscriptions should have a log profile for Activity Log Эта политика обеспечивает включение профиля журнала для экспорта журналов действий.This policy ensures if a log profile is enabled for exporting activity logs. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий.It audits if there is no log profile created to export the logs either to a storage account or to an event hub. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что срок хранения журнала действий составляет 365 дней или большеEnsure that Activity Log Retention is set 365 days or greater

Идентификатор. CIS Azure 5.1.2 Ответственный: CustomerID: CIS Azure 5.1.2 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Журнал действий должен храниться как минимум один годActivity log should be retained for at least one year Эта политика осуществляет аудит журнала действий, если не настроен неограниченный период хранения или срок хранения, равный 365 дням (задано 0 дней хранения).This policy audits the activity log if the retention is not set for 365 days or forever (retention days set to 0). AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что профиль аудита собирает сведения обо всех действияхEnsure audit profile captures all the activities

Идентификатор. CIS Azure 5.1.3 Ответственный: CustomerID: CIS Azure 5.1.3 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Профиль журнала Azure Monitor должен собирать журналы по категориям "write", "delete" и "action"Azure Monitor log profile should collect logs for categories 'write,' 'delete,' and 'action' Эта политика заставляет профиль журнала собирать журналы по категориям "write" (запись), "delete" (удаление) и "action" (действие).This policy ensures that a log profile collects logs for categories 'write,' 'delete,' and 'action' AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что профиль журнала собирает журналы действий по всем регионам, включая глобальныйEnsure the log profile captures activity logs for all regions including global

Идентификатор. CIS Azure 5.1.4 Ответственный: CustomerID: CIS Azure 5.1.4 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Azure Monitor должен собирать журналы действий из всех регионовAzure Monitor should collect activity logs from all regions Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный.This policy audits the Azure Monitor log profile which does not export activities from all Azure supported regions including global. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что учетная запись хранения, содержащая контейнер с журналами действий, зашифрована с помощью BYOKEnsure the storage account containing the container with activity logs is encrypted with BYOK (Use Your Own Key)

Идентификатор. CIS Azure 5.1.6 Ответственный: CustomerID: CIS Azure 5.1.6 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOKStorage account containing the container with activity logs must be encrypted with BYOK Эта политика проверяет, зашифрована ли учетная запись хранения, содержащая контейнер с журналами действий, с помощью BYOK.This policy audits if the Storage account containing the container with activity logs is encrypted with BYOK. Эта политика применяется только в том случае, если проект реализован так, что учетная запись хранения находится в той же подписке, что и журналы действий.The policy works only if the storage account lies on the same subscription as activity logs by design. Дополнительные сведения о шифровании неактивных данных в службе хранилища Azure см. на странице https://aka.ms/azurestoragebyok.More information on Azure Storage encryption at rest can be found here https://aka.ms/azurestoragebyok. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что для параметр ведения журнала для Azure KeyVault включенEnsure that logging for Azure KeyVault is 'Enabled'

Идентификатор. CIS Azure 5.1.7 Ответственный: CustomerID: CIS Azure 5.1.7 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Журналы диагностики в Key Vault должны быть включеныDiagnostic logs in Key Vault should be enabled Аудит активации журналов диагностики.Audit enabling of diagnostic logs. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети.This enables you to recreate activity trails to use for investigation purposes when a security incident occurs or when your network is compromised AuditIfNotExists, DisabledAuditIfNotExists, Disabled 3.0.03.0.0

Обеспечение того, что для операции создания назначения политики существует оповещение журнала действийEnsure that Activity Log Alert exists for Create Policy Assignment

Идентификатор. CIS Azure 5.2.1 Ответственный: CustomerID: CIS Azure 5.2.1 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для определенных операций политики должно существовать оповещение журнала действийAn activity log alert should exist for specific Policy operations Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий.This policy audits specific Policy operations with no activity log alerts configured. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 2.0.02.0.0

Обеспечение того, что для операции создания или обновления группы безопасности сети существует оповещение журнала действийEnsure that Activity Log Alert exists for Create or Update Network Security Group

Идентификатор. CIS Azure 5.2.2 Ответственный: CustomerID: CIS Azure 5.2.2 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для выполнения определенных административных операций должно существовать оповещение журнала действий.An activity log alert should exist for specific Administrative operations Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.This policy audits specific Administrative operations with no activity log alerts configured. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что для операции удаления группы безопасности сети существует оповещение журнала действийEnsure that Activity Log Alert exists for Delete Network Security Group

Идентификатор. CIS Azure 5.2.3 Ответственный: CustomerID: CIS Azure 5.2.3 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для выполнения определенных административных операций должно существовать оповещение журнала действий.An activity log alert should exist for specific Administrative operations Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.This policy audits specific Administrative operations with no activity log alerts configured. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что для операции создания или обновления правила группы безопасности сети существует оповещение журнала действийEnsure that Activity Log Alert exists for Create or Update Network Security Group Rule

Идентификатор. CIS Azure 5.2.4 Ответственный: CustomerID: CIS Azure 5.2.4 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для выполнения определенных административных операций должно существовать оповещение журнала действий.An activity log alert should exist for specific Administrative operations Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.This policy audits specific Administrative operations with no activity log alerts configured. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что для операции удаления правила группы безопасности сети существует оповещение журнала действийEnsure that activity log alert exists for the Delete Network Security Group Rule

Идентификатор. CIS Azure 5.2.5 Ответственный: CustomerID: CIS Azure 5.2.5 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для выполнения определенных административных операций должно существовать оповещение журнала действий.An activity log alert should exist for specific Administrative operations Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.This policy audits specific Administrative operations with no activity log alerts configured. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что для операции создания или обновления решения безопасности существует оповещение журнала действийEnsure that Activity Log Alert exists for Create or Update Security Solution

Идентификатор. CIS Azure 5.2.6 Ответственный: CustomerID: CIS Azure 5.2.6 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для определенных операций безопасности должно существовать оповещение журнала действийAn activity log alert should exist for specific Security operations Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий.This policy audits specific Security operations with no activity log alerts configured. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что для операции удаления решения безопасности существует оповещение журнала действийEnsure that Activity Log Alert exists for Delete Security Solution

Идентификатор. CIS Azure 5.2.7 Ответственный: CustomerID: CIS Azure 5.2.7 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для определенных операций безопасности должно существовать оповещение журнала действийAn activity log alert should exist for specific Security operations Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий.This policy audits specific Security operations with no activity log alerts configured. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что для операции создания, обновления или удаления правила брандмауэра SQL Server существует оповещение журнала действийEnsure that Activity Log Alert exists for Create or Update or Delete SQL Server Firewall Rule

Идентификатор. CIS Azure 5.2.8 Ответственный: CustomerID: CIS Azure 5.2.8 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для выполнения определенных административных операций должно существовать оповещение журнала действий.An activity log alert should exist for specific Administrative operations Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий.This policy audits specific Administrative operations with no activity log alerts configured. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что для операции обновления политики безопасности существует оповещение журнала действийEnsure that Activity Log Alert exists for Update Security Policy

Идентификатор. CIS Azure 5.2.9 Ответственный: CustomerID: CIS Azure 5.2.9 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Для определенных операций безопасности должно существовать оповещение журнала действийAn activity log alert should exist for specific Security operations Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий.This policy audits specific Security operations with no activity log alerts configured. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

СетьNetworking

Обеспечение того, что доступ по протоколу RDP через Интернет заблокированEnsure that RDP access is restricted from the internet

Идентификатор. CIS Azure 6.1 Ответственный: CustomerID: CIS Azure 6.1 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Доступ по протоколу RDP через Интернет должен быть заблокированRDP access from the Internet should be blocked Эта политика выполняет аудит всех правил безопасности сети, разрешающих доступ по протоколу RDP через Интернет.This policy audits any network security rule that allows RDP access from Internet Audit, DisabledAudit, Disabled 2.0.02.0.0

Обеспечение того, что доступ по протоколу SSH через Интернет заблокированEnsure that SSH access is restricted from the internet

Идентификатор. CIS Azure 6.2 Ответственный: CustomerID: CIS Azure 6.2 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Доступ по протоколу SSH через Интернет должен быть заблокированSSH access from the Internet should be blocked Эта политика выполняет аудит всех правил безопасности сети, разрешающих доступ по протоколу SSH через Интернет.This policy audits any network security rule that allows SSH access from Internet Audit, DisabledAudit, Disabled 2.0.02.0.0

Обеспечение того, что служба "Наблюдатель за сетями" включенаEnsure that Network Watcher is 'Enabled'

Идентификатор. CIS Azure 6.5 Ответственный: CustomerID: CIS Azure 6.5 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Необходимо включить Наблюдатель за сетямиNetwork Watcher should be enabled Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure.Network Watcher is a regional service that enables you to monitor and diagnose conditions at a network scenario level in, to, and from Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня.Scenario level monitoring enables you to diagnose problems at an end to end network level view. Инструменты диагностики сети и визуализации, доступные в Наблюдателе за сетями, помогают понять, как работает сеть в Azure, диагностировать ее и получить ценную информацию.Network diagnostic and visualization tools available with Network Watcher help you understand, diagnose, and gain insights to your network in Azure. auditIfNotExistsauditIfNotExists 1.0.01.0.0

Виртуальные машиныVirtual Machines

Обеспечение того, что диск ОС зашифрованEnsure that 'OS disk' are encrypted

Идентификатор. CIS Azure 7.1 Ответственный: CustomerID: CIS Azure 7.1 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
На виртуальных машинах должно применяться шифрование дисковDisk encryption should be applied on virtual machines Виртуальные машины без шифрования дисков будут отслеживаться Центром безопасности Azure (это требование носит рекомендательный характер).Virtual machines without an enabled disk encryption will be monitored by Azure Security Center as recommendations. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 2.0.02.0.0

Обеспечение того, что диски данных зашифрованыEnsure that 'Data disks' are encrypted

Идентификатор. CIS Azure 7.2 Ответственный: CustomerID: CIS Azure 7.2 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
На виртуальных машинах должно применяться шифрование дисковDisk encryption should be applied on virtual machines Виртуальные машины без шифрования дисков будут отслеживаться Центром безопасности Azure (это требование носит рекомендательный характер).Virtual machines without an enabled disk encryption will be monitored by Azure Security Center as recommendations. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 2.0.02.0.0

Обеспечение того, что неподключенные диски зашифрованыEnsure that 'Unattached disks' are encrypted

Идентификатор. CIS Azure 7.3 Ответственный: CustomerID: CIS Azure 7.3 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Неподключенные диски должны быть зашифрованыUnattached disks should be encrypted Эта политика выполняет аудит всех неподключенных дисков, на которых не активировано шифрование.This policy audits any unattached disk without encryption enabled. Audit, DisabledAudit, Disabled 1.0.01.0.0

Обеспечение того, что установлены только утвержденные расширенияEnsure that only approved extensions are installed

Идентификатор. CIS Azure 7.4 Ответственный: CustomerID: CIS Azure 7.4 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Должны быть установлены только утвержденные расширения виртуальных машинOnly approved VM extensions should be installed Эта политика управляет неутвержденными расширениями виртуальных машин.This policy governs the virtual machine extensions that are not approved. Audit, Deny, DisabledAudit, Deny, Disabled 1.0.01.0.0

Обеспечение того, что для всех виртуальных машин установлены последние исправления ОСEnsure that the latest OS Patches for all Virtual Machines are applied

Идентификатор. CIS Azure 7.5 Ответственный: CustomerID: CIS Azure 7.5 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
На компьютерах должны быть установлены обновления системыSystem updates should be installed on your machines Отсутствие обновлений системы безопасности на серверах будет отслеживаться центром безопасности Azure для предоставления рекомендаций.Missing security system updates on your servers will be monitored by Azure Security Center as recommendations AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что защита конечной точки установлена для всех виртуальных машинEnsure that the endpoint protection for all Virtual Machines is installed

Идентификатор. CIS Azure 7.6 Ответственный: CustomerID: CIS Azure 7.6 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Мониторинг отсутствия Endpoint Protection в Центре безопасности AzureMonitor missing Endpoint Protection in Azure Security Center Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций.Servers without an installed Endpoint Protection agent will be monitored by Azure Security Center as recommendations AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Прочие вопросы по безопасностиOther Security Considerations

Обеспечение того, что хранилище ключей поддерживает восстановлениеEnsure the key vault is recoverable

Идентификатор. CIS Azure 8.4 Ответственный: CustomerID: CIS Azure 8.4 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Объекты Key Vault должны быть восстанавливаемымиKey Vault objects should be recoverable Эта политика позволяет проверить наличие невосстанавливаемых объектов Key Vault.This policy audits if key vault objects are not recoverable. Функция обратимого удаления позволяет в течение определенного периода (90 дней) эффективно сохранять ресурсы даже после операции удаления. Ресурсы при этом как будто удалены.Soft Delete feature helps to effectively hold the resources for a given retention period (90 days) even after a DELETE operation, while giving the appearance that the object is deleted. Если защита от очистки включена, хранилище или удаленный из него объект нельзя удалить без возможности восстановления в течение 90 дней после первоначального удаления.When 'Purge protection' is on, a vault or an object in deleted state cannot be purged until the retention period of 90 days has passed. Эти хранилища и объекты по-прежнему можно восстановить, гарантируя клиентам, что политика хранения будет соблюдена.These vaults and objects can still be recovered, assuring customers that the retention policy will be followed. Audit, DisabledAudit, Disabled 1.0.01.0.0

Включение управления доступом на основе ролей (RBAC) в службе Azure KubernetesEnable role-based access control (RBAC) within Azure Kubernetes Services

Идентификатор. CIS Azure 8.5 Ответственный: CustomerID: CIS Azure 8.5 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
В службах Kubernetes следует использовать управление доступом на основе ролей (RBAC)Role-Based Access Control (RBAC) should be used on Kubernetes Services Чтобы обеспечить детальную фильтрацию действий, которые могут выполнять пользователи, используйте управление доступом на основе ролей (RBAC) для управления разрешениями в кластерах службы Kubernetes и настройте соответствующие политики авторизации.To provide granular filtering on the actions that users can perform, use Role-Based Access Control (RBAC) to manage permissions in Kubernetes Service Clusters and configure relevant authorization policies. Audit, DisabledAudit, Disabled 1.0.21.0.2

AppServiceAppService

Обеспечение того, что для Службы приложений Azure задана проверка подлинности в Службе приложений AzureEnsure App Service Authentication is set on Azure App Service

Идентификатор. CIS Azure 9.1 Ответственный: CustomerID: CIS Azure 9.1 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Должна быть включена проверка подлинности для приложения APIAuthentication should be enabled on your API app Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к приложению API для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токеном.Azure App Service Authentication is a feature that can prevent anonymous HTTP requests from reaching the API app, or authenticate those that have tokens before they reach the API app AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
Должна быть включена проверка подлинности для приложения-функцииAuthentication should be enabled on your Function app Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к приложению-функции для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токеном.Azure App Service Authentication is a feature that can prevent anonymous HTTP requests from reaching the Function app, or authenticate those that have tokens before they reach the Function app AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
Должна быть включена проверка подлинности для веб-приложенияAuthentication should be enabled on your web app Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к веб-приложению для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токеном.Azure App Service Authentication is a feature that can prevent anonymous HTTP requests from reaching the web app, or authenticate those that have tokens before they reach the web app AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Обеспечение того, что веб-приложение перенаправляет весь трафик HTTP на HTTPS в Службе приложений AzureEnsure web app redirects all HTTP traffic to HTTPS in Azure App Service

Идентификатор. CIS Azure 9.2 Ответственный: CustomerID: CIS Azure 9.2 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Веб-приложение должно быть доступно только по HTTPSWeb Application should only be accessible over HTTPS Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне.Use of HTTPS ensures server/service authentication and protects data in transit from network layer eavesdropping attacks. Audit, DisabledAudit, Disabled 1.0.01.0.0

Проверка использования последней версии шифрования TLS в веб-приложенииEnsure web app is using the latest version of TLS encryption

Идентификатор. CIS Azure 9.3 Ответственный: CustomerID: CIS Azure 9.3 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
В вашем приложении API необходимо использовать последнюю версию TLSLatest TLS version should be used in your API App Обновите TLS до последней версии.Upgrade to the latest TLS version AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
В вашем приложении-функции необходимо использовать последнюю версию TLSLatest TLS version should be used in your Function App Обновите TLS до последней версии.Upgrade to the latest TLS version AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
В вашем веб-приложении необходимо использовать последнюю версию TLSLatest TLS version should be used in your Web App Обновите TLS до последней версии.Upgrade to the latest TLS version AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

Параметр "Сертификаты клиента (входящие сертификаты клиента)" для веб-приложения должен иметь значение "Вкл."Ensure the web app has 'Client Certificates (Incoming client certificates)' set to 'On'

Идентификатор. CIS Azure 9.4 Ответственный: CustomerID: CIS Azure 9.4 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
Параметр "Сертификаты клиента (входящие сертификаты клиента)" для приложения API должен иметь значение "Вкл"Ensure API app has 'Client Certificates (Incoming client certificates)' set to 'On' Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов.Client certificates allow for the app to request a certificate for incoming requests. Приложение будет доступно только клиентам с допустимым сертификатом.Only clients that have a valid certificate will be able to reach the app. Audit, DisabledAudit, Disabled 1.0.01.0.0
Параметр "Сертификаты клиента (входящие сертификаты клиента)" для приложения-функции должен иметь значение "Вкл"Ensure Function app has 'Client Certificates (Incoming client certificates)' set to 'On' Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов.Client certificates allow for the app to request a certificate for incoming requests. Приложение будет доступно только клиентам с допустимым сертификатом.Only clients that have a valid certificate will be able to reach the app. Audit, DisabledAudit, Disabled 1.0.01.0.0
Параметр "Сертификаты клиента (входящие сертификаты клиента)" для веб-приложения должен иметь значение "Вкл"Ensure WEB app has 'Client Certificates (Incoming client certificates)' set to 'On' Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов.Client certificates allow for the app to request a certificate for incoming requests. Приложение будет доступно только клиентам с допустимым сертификатом.Only clients that have a valid certificate will be able to reach the app. Audit, DisabledAudit, Disabled 1.0.01.0.0

В службе приложений должна быть включена регистрация в Azure Active DirectoryEnsure that Register with Azure Active Directory is enabled on App Service

Идентификатор. CIS Azure 9.5 Ответственный: CustomerID: CIS Azure 9.5 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
В вашем приложении API необходимо использовать управляемое удостоверениеManaged identity should be used in your API App Используйте управляемое удостоверение для повышения безопасности проверки подлинности.Use a managed identity for enhanced authentication security AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
В вашем приложении-функции необходимо использовать управляемое удостоверениеManaged identity should be used in your Function App Используйте управляемое удостоверение для повышения безопасности проверки подлинности.Use a managed identity for enhanced authentication security AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
В вашем веб-приложении необходимо использовать управляемое удостоверениеManaged identity should be used in your Web App Используйте управляемое удостоверение для повышения безопасности проверки подлинности.Use a managed identity for enhanced authentication security AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

В веб-приложении должна использоваться последняя версия PHPEnsure that 'PHP version' is the latest, if used to run the web app

Идентификатор. CIS Azure 9.7 Ответственный: CustomerID: CIS Azure 9.7 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
В приложении API должна использоваться последняя версия PHPEnsure that 'PHP version' is the latest, if used as a part of the Api app Для программного обеспечения PHP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции.Periodically, newer versions are released for PHP software either due to security flaws or to include additional functionality. Чтобы получить эти возможности и преимущества, для приложений API рекомендуется использовать последнюю версию PHP.Using the latest PHP version for API apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
В веб-приложении должна использоваться последняя версия PHPEnsure that 'PHP version' is the latest, if used as a part of the WEB app Для программного обеспечения PHP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции.Periodically, newer versions are released for PHP software either due to security flaws or to include additional functionality. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию PHP.Using the latest PHP version for web apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

В веб-приложении должна использоваться последняя версия PythonEnsure that 'Python version' is the latest, if used to run the web app

Идентификатор. CIS Azure 9.8 Ответственный: CustomerID: CIS Azure 9.8 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
В приложении API должна использоваться последняя версия PythonEnsure that 'Python version' is the latest, if used as a part of the Api app Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции.Periodically, newer versions are released for Python software either due to security flaws or to include additional functionality. Чтобы получить эти возможности и преимущества, для приложений API рекомендуется использовать последнюю версию Python.Using the latest Python version for Api apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
В приложении-функции должна использоваться последняя версия PythonEnsure that 'Python version' is the latest, if used as a part of the Function app Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции.Periodically, newer versions are released for Python software either due to security flaws or to include additional functionality. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Python.Using the latest Python version for Function apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
В веб-приложении должна использоваться последняя версия PythonEnsure that 'Python version' is the latest, if used as a part of the Web app Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции.Periodically, newer versions are released for Python software either due to security flaws or to include additional functionality. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию Python.Using the latest Python version for web apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

В веб-приложении должна использоваться последняя версия JavaEnsure that 'Java version' is the latest, if used to run the web app

Идентификатор. CIS Azure 9.9 Ответственный: CustomerID: CIS Azure 9.9 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
В приложении API должна использоваться последняя версия JavaEnsure that 'Java version' is the latest, if used as a part of the Api app Для Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции.Periodically, newer versions are released for Java either due to security flaws or to include additional functionality. Чтобы получить эти возможности и преимущества, для приложений API рекомендуется использовать последнюю версию Python.Using the latest Python version for Api apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
В приложении-функции должна использоваться последняя версия JavaEnsure that 'Java version' is the latest, if used as a part of the Function app Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции.Periodically, newer versions are released for Java software either due to security flaws or to include additional functionality. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Java.Using the latest Java version for Function apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.11.0.1
В веб-приложении должна использоваться последняя версия JavaEnsure that 'Java version' is the latest, if used as a part of the Web app Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции.Periodically, newer versions are released for Java software either due to security flaws or to include additional functionality. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию Java.Using the latest Java version for web apps is recommended in order to take advantage of security fixes, if any, and/or new functionalities of the latest version. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0

В веб-приложении должна использоваться последняя версия HTTPEnsure that 'HTTP Version' is the latest, if used to run the web app

Идентификатор. CIS Azure 9.10 Ответственный: CustomerID: CIS Azure 9.10 Ownership: Customer

ИмяName
(портал Azure)(Azure portal)
ОписаниеDescription ДействиеEffect(s) ВерсияVersion
(GitHub)(GitHub)
В приложении API должна использоваться последняя версия HTTPEnsure that 'HTTP Version' is the latest, if used to run the Api app Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции.Periodically, newer versions are released for HTTP either due to security flaws or to include additional functionality. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP.Using the latest HTTP version for web apps to take advantage of security fixes, if any, and/or new functionalities of the newer version. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
В приложении-функции должна использоваться последняя версия HTTPEnsure that 'HTTP Version' is the latest, if used to run the Function app Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции.Periodically, newer versions are released for HTTP either due to security flaws or to include additional functionality. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP.Using the latest HTTP version for web apps to take advantage of security fixes, if any, and/or new functionalities of the newer version. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.0.01.0.0
В веб-приложении должна использоваться последняя версия HTTPEnsure that 'HTTP Version' is the latest, if used to run the Web app Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции.Periodically, newer versions are released for HTTP either due to security flaws or to include additional functionality. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP.Using the latest HTTP version for web apps to take advantage of security fixes, if any, and/or new functionalities of the newer version. AuditIfNotExists, DisabledAuditIfNotExists, Disabled 1.1.01.1.0

Примечание

Возможность использования отдельных определений Политики Azure может отличаться в Azure для государственных организаций и других национальных облаках.Availability of specific Azure Policy definitions may vary in Azure Government and other national clouds.

Дальнейшие действияNext steps

Дополнительные статьи о Политике Azure:Additional articles about Azure Policy: