Подробные сведения о встроенной инициативе о соответствии нормативным требованиям теста производительности CIS для платформ Microsoft Azure 1.1.0 (Azure для государственных организаций).
В следующей статье подробно описано, как определение встроенной инициативы о соответствии нормативным требованиям Политики Azure сопоставляется с областями соответствия нормативным требованиям и элементами управления в тестах CIS оценки безопасности для платформ Microsoft Azure 1.1.0 (Azure для государственных организаций). Дополнительные сведения об этом стандарте соответствия требованиям см. в статье Тест производительности CIS для платформ Microsoft Azure 1.1.0. Сведения о термине Ответственность см. в статьях Определение службы "Политика Azure" и Разделение ответственности в облаке.
Ниже приведены сопоставления, соответствующие элементам управления CIS Microsoft Azure Foundations Benchmark 1.1.0. Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите определение встроенной инициативы о соответствии требованиям Azure Foundations Benchmark CIS для платформ Microsoft Azure версии 1.1.0.
Внимание
Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.
1. Управление удостоверениями и доступом
Обеспечение того, что многофакторная проверка подлинности включена для всех привилегированных пользователей
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что многофакторная проверка подлинности включена для всех непривилегированных пользователей
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.2 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что гостевых пользователей не существует
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 1.3 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
2. Центр безопасности
Обеспечение того, что выбрана ценовая категория "Стандартный"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для служба хранилища (классическая версия) должна быть включена | Microsoft Defender для служба хранилища (классическая модель) предоставляет обнаружение необычных и потенциально опасных попыток доступа к учетным записям хранения или эксплойтов. | AuditIfNotExists, Disabled | 1.0.4 |
Обеспечение того, что параметр "Мониторинг JIT-доступа к сети" не имеет значение "Отключено" в политике ASC по умолчанию
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.12 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Обеспечение того, что параметр Monitor Adaptive Application Whitelisting (Мониторинг ведения адаптивного белого списка) не имеет значение "Отключено" в политике ASC по умолчанию
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.13 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
Обеспечение того, что параметр "Мониторинг аудита SQL" не имеет значение "Отключено" в политике ASC по умолчанию
Идентификатор: рекомендация CIS Microsoft Azure Foundations Benchmark 2.14 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
Обеспечение того, что параметр "Мониторинг шифрования SQL" не имеет значение "Отключено" в политике ASC по умолчанию
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 2.15 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, Disabled | 2.0.0 |
Обеспечение того, что установлен параметр "Адреса электронной почты контактных лиц по вопросам безопасности"
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 2.16 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Обеспечение того, что включен параметр "Отправлять оповещения высокой серьезности по электронной почте"
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 2.18 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Обеспечение того, что включен параметр "Также отправлять оповещения владельцам подписки"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.19 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.0.0 |
Обеспечение того, что включен параметр "Автоматическая подготовка агента мониторинга"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.2 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| В подписке должна быть включена автоматическая подготовка агента Log Analytics | Чтобы отслеживать уязвимости и угрозы безопасности, Центр безопасности Azure собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно. | AuditIfNotExists, Disabled | 1.0.1 |
Обеспечение того, что параметр "Мониторинг обновлений системы" не имеет значение "Отключено" в политике ASC по умолчанию
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.3 Владения: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть установлены обновления системы | Отсутствие обновлений системы безопасности на серверах будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Обеспечение того, что параметр "Мониторинг уязвимостей ОС" не имеет значение"Отключено" в политике ASC по умолчанию
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 2.4 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
Обеспечение того, что параметр "Мониторинг Endpoint Protection" не имеет значение "Отключено" в политике ASC по умолчанию
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.5 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
Обеспечение того, что параметр "Мониторинг шифрования дисков" не имеет значение "Отключено" в политике ASC по умолчанию
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.6 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища | По умолчанию ОС и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски, кэши данных и данные, передаваемые между вычислениями и хранилищем, не шифруются. Не учитывайте эту рекомендацию, если используется шифрование на узле или если шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделах: "Шифрование Хранилища дисков Azure на стороне сервера": https://aka.ms/disksse, "Различные предложения для шифрования дисков": https://aka.ms/diskencryptioncomparison. | AuditIfNotExists, Disabled | 2.0.3 |
Обеспечение того, что параметр "Включение мониторинга брандмауэра следующего поколения (NGFW)" не имеет значение "Отключено" в политике ASC по умолчанию
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 2.9 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
3. Учетные записи хранения
Обеспечение того, что для параметра "Требуется безопасное перемещение" задано значение "Включено"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
Обеспечение того, что в правиле сетевого доступа по умолчанию для учетных записей хранения задано значение "Отклонить"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.7 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
Убедитесь что для доступа к учетной записи хранения включен параметр "Доверенные службы Майкрософт"
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 3.8 Владение: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи хранения должны разрешать доступ из доверенных служб Майкрософт | Некоторые службы Майкрософт, взаимодействующие с учетными записями хранения, работают из сетей, которым нельзя предоставить доступ через сетевые правила. Чтобы помочь таким службам работать как нужно, разрешите доверенным службам Майкрософт обходить сетевые правила. Эти службы будут использовать строгую проверку подлинности для доступа к учетной записи хранения. | Audit, Deny, Disabled | 1.0.0 |
4. Службы баз данных
Обеспечение того, что для параметра "Аудит" задано значение "Вкл."
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
Обеспечение того, что предохранитель TDE сервера SQL зашифрован с помощью BYOK (используйте собственный ключ)
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.10 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.0 |
| Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.1 |
Обеспечение того, что параметр "Принудительно использовать SSL-соединение" включен для сервера баз данных MySQL
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.11 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения | База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
Обеспечение того, что параметр log_checkpoints включен для сервера базы данных PostgreSQL
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.12 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На серверах баз данных PostgreSQL должны быть включены контрольные точки журнала | Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, в которых не включен параметр log_checkpoints. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что параметр "Принудительно использовать SSL-соединение" включен для сервера баз данных PostgreSQL
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.13 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
Обеспечение того, что параметр log_connections включен для сервера базы данных PostgreSQL
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.14 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На серверах баз данных PostgreSQL должны быть включены журналы подключений | Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_connections. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что параметр log_disconnections включен для сервера базы данных PostgreSQL
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.15: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На серверах баз данных PostgreSQL должны быть включены журналы отключений. | Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включен параметр log_disconnections. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что параметр connection_throttling включен для сервера базы данных PostgreSQL
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.17 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов баз данных PostgreSQL должно быть включено регулирование подключения | Эта политика помогает выполнить аудит наличия в вашей среде баз данных PostgreSQL, для которых не включено регулирование подключения. Этот параметр обеспечивает временное регулирование подключений по IP-адресу при слишком большом числе неудачных попыток входа с паролем. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что параметр AuditActionGroups в политике аудита для SQL-сервера установлен правильно
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| В параметрах аудита SQL необходимо настроить группы действий для записи критических действий | Для подробного ведения журнала аудита свойство AuditActionsAndGroups должно включать как минимум следующие значения: SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP и BATCH_COMPLETED_GROUP. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что задан период хранения данных аудита более 90 дней
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.3 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. | AuditIfNotExists, Disabled | 3.0.0 |
Обеспечение того, что для параметра "Расширенная защита данных" на сервере SQL задано значение "Вкл."
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.4 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
Обеспечение того, что администратор Azure Active Directory настроен
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 4.8 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что для параметра "Шифрование данных" в Базе данных SQL установлено значение "Вкл."
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 4.9 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, Disabled | 2.0.0 |
5. Ведение журналов и мониторинг
Обеспечение того, что существует профиль журнала
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписки Azure должны иметь профиль журнала для журнала действий | Эта политика обеспечивает включение профиля журнала для экспорта журналов действий. Она осуществляет аудит, если не создан профиль журнала для экспорта журналов в учетную запись хранения или концентратор событий. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что срок хранения журнала действий составляет 365 дней или больше
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.2 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Журнал действий должен храниться как минимум один год | Эта политика осуществляет аудит журнала действий, если не настроен неограниченный период хранения или срок хранения, равный 365 дням (задано 0 дней хранения). | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что профиль аудита собирает сведения обо всех действиях
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.3 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Профиль журнала Azure Monitor должен собирать журналы по категориям "write", "delete" и "action" | Эта политика заставляет профиль журнала собирать журналы по категориям "write" (запись), "delete" (удаление) и "action" (действие). | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что профиль журнала собирает журналы действий по всем регионам, включая глобальный
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.4 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Monitor должен собирать журналы действий из всех регионов | Эта политика осуществляет аудит профиля журнала Azure Monitor, который не экспортирует действия из всех поддерживаемых регионов Azure, включая глобальный. | AuditIfNotExists, Disabled | 2.0.0 |
Обеспечение того, что учетная запись хранения, содержащая контейнер с журналами действий, зашифрована с помощью BYOK
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.1.6 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетная запись хранения, содержащая контейнер с журналами действий, должна быть зашифрована с помощью BYOK | Эта политика проверяет, зашифрована ли учетная запись хранения, содержащая контейнер с журналами действий, с помощью BYOK. Эта политика применяется только в том случае, если проект реализован так, что учетная запись хранения находится в той же подписке, что и журналы действий. Дополнительные сведения о шифровании неактивных данных в службе хранилища Azure см. на странице https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что для параметр ведения журнала для Azure KeyVault включен
Id: CIS Microsoft Azure Foundations Benchmark рекомендации 5.1.7 Владения: shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
Обеспечение того, что для операции создания назначения политики существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для определенных операций политики должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций политики без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 3.0.0 |
Обеспечение того, что для операции создания или обновления группы безопасности сети существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.2 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что для операции удаления группы безопасности сети существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.3 Ответственность: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что для операции создания или обновления правила группы безопасности сети существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.4 Ответственность: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что для операции удаления правила группы безопасности сети существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.5 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что для операции создания или обновления решения безопасности существует оповещение журнала действий
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 5.2.6 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что для операции удаления решения безопасности существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.7 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что для операции создания, обновления или удаления правила брандмауэра SQL Server существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.8 Ответственность: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для выполнения определенных административных операций должно существовать оповещение журнала действий. | Эта политика выполняет аудит определенных административных операций без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
Обеспечение того, что для операции обновления политики безопасности существует оповещение журнала действий
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 5.2.9 Ответственность: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для определенных операций безопасности должно существовать оповещение журнала действий | Эта политика выполняет аудит определенных операций безопасности без настроенных оповещений журнала действий. | AuditIfNotExists, Disabled | 1.0.0 |
6. Сеть
Обеспечение того, что служба "Наблюдатель за сетями" включена
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 6.5 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
7. Виртуальные машины
Обеспечение того, что диск ОС зашифрован
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища | По умолчанию ОС и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски, кэши данных и данные, передаваемые между вычислениями и хранилищем, не шифруются. Не учитывайте эту рекомендацию, если используется шифрование на узле или если шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделах: "Шифрование Хранилища дисков Azure на стороне сервера": https://aka.ms/disksse, "Различные предложения для шифрования дисков": https://aka.ms/diskencryptioncomparison. | AuditIfNotExists, Disabled | 2.0.3 |
Обеспечение того, что диски данных зашифрованы
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища | По умолчанию ОС и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски, кэши данных и данные, передаваемые между вычислениями и хранилищем, не шифруются. Не учитывайте эту рекомендацию, если используется шифрование на узле или если шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделах: "Шифрование Хранилища дисков Azure на стороне сервера": https://aka.ms/disksse, "Различные предложения для шифрования дисков": https://aka.ms/diskencryptioncomparison. | AuditIfNotExists, Disabled | 2.0.3 |
Обеспечение того, что установлены только утвержденные расширения
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.4 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Должны быть установлены только утвержденные расширения виртуальных машин | Эта политика управляет неутвержденными расширениями виртуальных машин. | Audit, Deny, Disabled | 1.0.0 |
Обеспечение того, что для всех виртуальных машин установлены последние исправления ОС
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.5 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть установлены обновления системы | Отсутствие обновлений системы безопасности на серверах будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
Обеспечение того, что защита конечной точки установлена для всех виртуальных машин
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 7.6 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
8. Прочие вопросы по безопасности
Обеспечение того, что хранилище ключей поддерживает восстановление
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.4 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| В хранилищах ключей должна быть включена защита от удаления | Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. | Audit, Deny, Disabled | 2.1.0 |
Включение управления доступом на основе ролей (RBAC) в службе Azure Kubernetes
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 8.5 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Контроль доступа на основе ролей Azure (RBAC) следует использовать в службах Kubernetes | Чтобы обеспечить детализированную фильтрацию действий, которые могут выполнять пользователи, используйте контроль доступа на основе ролей Azure (RBAC) для управления разрешениями в кластерах служб Kubernetes и настройке соответствующих политик авторизации. | Audit, Disabled | 1.0.3 |
9. Служба приложений
Обеспечение того, что для Службы приложений Azure задана проверка подлинности в Службе приложений Azure
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| В приложениях Службы приложений должна быть включена проверка подлинности | Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к веб-приложению для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами. | AuditIfNotExists, Disabled | 2.0.1 |
| В приложениях-функциях должна быть включена проверка подлинности | Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к приложению-функции для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами. | AuditIfNotExists, Disabled | 3.0.0 |
В веб-приложении должна использоваться последняя версия HTTP
Идентификатор: рекомендация cis Microsoft Azure Foundations Benchmark 9.10 : Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
| Приложения-функции должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
Обеспечение того, что веб-приложение перенаправляет весь трафик HTTP на HTTPS в Службе приложений Azure
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.2 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
Проверка использования последней версии шифрования TLS в веб-приложении
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.3 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, Disabled | 2.0.1 |
| Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.0.1 |
Параметр "Сертификаты клиента (входящие сертификаты клиента)" для веб-приложения должен иметь значение "Вкл."
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.4 Ownership: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Не рекомендуется]: приложения-функции должны иметь значение "Сертификаты клиента (Входящие сертификаты клиента)" | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов. | Audit, Disabled | 3.1.0-устаревший |
| Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
В службе приложений должна быть включена регистрация в Azure Active Directory
Id: CIS Microsoft Azure Foundations Benchmark рекомендация 9.5 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
Следующие шаги
Дополнительные статьи о Политике Azure:
- Обзор соответствия нормативным требованиям.
- См. структуру определения инициативы.
- См. другие примеры шаблонов для Политики Azure.
- Изучите сведения о действии политик.
- Узнайте, как исправлять несоответствующие ресурсы.