Сведения о встроенной инициативе по соответствию требованиям стандарта NIST SP 800-171 R2
В следующей статье подробно описано, как определение встроенной инициативы Политики Azure по соответствию нормативным требованиям сопоставляется с областями соответствия нормативным требованиям и элементами управления в стандарте NIST SP 800-171 R2. Дополнительные сведения об этом стандарте соответствия см. на странице описания NIST SP 800-171 R2 (специальной публикации Национального института стандартов и технологий). Сведения о термине Ответственность см. в статьях Определение службы "Политика Azure" и Разделение ответственности в облаке.
Далее представлены сопоставления для элементов управления, определяемых стандартом NIST SP 800-171 R2. Многие элементы управления реализуются с помощью определения инициативы Политики Azure. Чтобы просмотреть полное определение инициативы, откройте раздел Политика на портале Azure и перейдите на страницу Определения. Затем найдите и выберите встроенное определение инициативы NIST SP 800-171 ред. 2 . Встроенное определение инициативы соответствия нормативным требованиям.
Внимание
Каждый элемент управления ниже связан с одним или несколькими определениями Политики Azure. Такие политики помогут вам в оценке соответствия с помощью элементов управления, но часто полное или точное соответствие между элементом управления и одной или несколькими политиками отсутствует. Поэтому состояние Совместимый в Политике Azure применимо только к самим определениям политики и не означает полное соответствие всем требованиям элемента управления. Кроме того, стандарт соответствия включает элементы управления, на которые сейчас не распространяются определения Политики Azure. Следовательно, сведения о соответствии в Политике Azure — это только частичное представление общего состояния соответствия. Связи между областями соответствия нормативным требованиям, элементами управления и определениями Политики Azure для этого стандарта соответствия со временем могут меняться. Историю изменений можно просмотреть на странице журнала фиксаций в GitHub.
Управление доступом
Ограничение доступа к системе для полномочных пользователей, процессов, действующих от имени полномочных пользователей, и устройств (включая другие системы)
Идентификатор: NIST SP 800-171 R2 3.1.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. | AuditIfNotExists, Disabled | 3.1.0 |
| Аудит компьютеров Linux с учетными записями без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них действуют учетные записи без паролей. | AuditIfNotExists, Disabled | 3.1.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Audit, Disabled | 1.0.1 |
| При аутентификации на компьютерах Linux должны использоваться ключи SSH | Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
| Служба "Azure API для FHIR" должна использовать частный канал | Служба "Azure API для FHIR" должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал | С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| Для хранилищ ключей Azure должен использоваться приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Служба Azure Spring Cloud должна использовать внедрение сети | Экземпляры Azure Spring Cloud должны использовать внедрение виртуальной сети в следующих целях: 1. Изоляция Azure Spring Cloud от Интернета. 2. Реализация взаимодействия Azure Spring Cloud с системами в локальных центрах обработки данных или службах Azure в других виртуальных сетях. 3. Предоставление клиентам возможности контролировать входящие и исходящие сетевые подключения для Azure Spring Cloud. | Audit, Disabled, Deny | 1.2.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Служба Azure Web PubSub должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Cognitive Services должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Определение типов учетных записей информационной системы | CMA_0121. Определение типов учетных записей информационной системы | Вручную, отключено | 1.1.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Для серверов MariaDB необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов MySQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов PostgreSQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
| Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
| Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Завершение (автоматически) сеанса пользователя после определенного условия.
Идентификатор: NIST SP 800-171 R2 3.1.11 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Автоматическое завершение сеанса пользователя | CMA_C1054 — Автоматическое завершение сеанса пользователя | Вручную, отключено | 1.1.0 |
Мониторинг сеансов удаленного доступа и управление ими.
Идентификатор: NIST SP 800-171 R2 3.1.12 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| Аудит компьютеров Linux, разрешающих удаленные подключения для учетных записей без паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux они разрешают удаленные подключения для учетных записей без паролей. | AuditIfNotExists, Disabled | 3.1.0 |
| Служба "Azure API для FHIR" должна использовать частный канал | Служба "Azure API для FHIR" должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал | С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| Для хранилищ ключей Azure должен использоваться приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Служба Azure Spring Cloud должна использовать внедрение сети | Экземпляры Azure Spring Cloud должны использовать внедрение виртуальной сети в следующих целях: 1. Изоляция Azure Spring Cloud от Интернета. 2. Реализация взаимодействия Azure Spring Cloud с системами в локальных центрах обработки данных или службах Azure в других виртуальных сетях. 3. Предоставление клиентам возможности контролировать входящие и исходящие сетевые подключения для Azure Spring Cloud. | Audit, Disabled, Deny | 1.2.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Служба Azure Web PubSub должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Cognitive Services должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Мониторинг доступа в организации | CMA_0376 — Мониторинг доступа в организации | Вручную, отключено | 1.1.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Для серверов MariaDB необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов MySQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов PostgreSQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Используйте механизмы шифрования для защиты конфиденциальности сеансов удаленного доступа.
Идентификатор: NIST SP 800-171 R2 3.1.13 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Служба "Azure API для FHIR" должна использовать частный канал | Служба "Azure API для FHIR" должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал | С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| Для хранилищ ключей Azure должен использоваться приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Служба Azure Spring Cloud должна использовать внедрение сети | Экземпляры Azure Spring Cloud должны использовать внедрение виртуальной сети в следующих целях: 1. Изоляция Azure Spring Cloud от Интернета. 2. Реализация взаимодействия Azure Spring Cloud с системами в локальных центрах обработки данных или службах Azure в других виртуальных сетях. 3. Предоставление клиентам возможности контролировать входящие и исходящие сетевые подключения для Azure Spring Cloud. | Audit, Disabled, Deny | 1.2.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Служба Azure Web PubSub должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Cognitive Services должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Уведомление пользователей о входе в систему или доступе | CMA_0382. Уведомление пользователей о входе в систему или доступе | Вручную, отключено | 1.1.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Для серверов MariaDB необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов MySQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов PostgreSQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Маршрутизация удаленного доступа через управляемые точки контроля доступа.
Идентификатор: NIST SP 800-171 R2 3.1.14 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Служба "Azure API для FHIR" должна использовать частный канал | Служба "Azure API для FHIR" должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал | С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| Для хранилищ ключей Azure должен использоваться приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Служба Azure Spring Cloud должна использовать внедрение сети | Экземпляры Azure Spring Cloud должны использовать внедрение виртуальной сети в следующих целях: 1. Изоляция Azure Spring Cloud от Интернета. 2. Реализация взаимодействия Azure Spring Cloud с системами в локальных центрах обработки данных или службах Azure в других виртуальных сетях. 3. Предоставление клиентам возможности контролировать входящие и исходящие сетевые подключения для Azure Spring Cloud. | Audit, Disabled, Deny | 1.2.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Служба Azure Web PubSub должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Cognitive Services должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Для серверов MariaDB необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов MySQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов PostgreSQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Маршрутизация трафика через точки доступа к управляемой сети | CMA_0484. Маршрутизация трафика через точки доступа к управляемой сети | Вручную, отключено | 1.1.0 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Авторизация удаленного выполнения привилегированных команд и удаленного доступа к информации, связанной с безопасностью.
Идентификатор: NIST SP 800-171 R2 3.1.15 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
| Авторизация удаленного доступа к привилегированным командам | CMA_C1064. Авторизация удаленного доступа к привилегированным командам | Вручную, отключено | 1.1.0 |
| Документирование инструкций по удаленному доступу | CMA_0196 — Документирование инструкций по удаленному доступу | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты альтернативных рабочих сайтов | CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов | Вручную, отключено | 1.1.0 |
| Обучение в области конфиденциальности | CMA_0415 — Обучение в области конфиденциальности | Вручную, отключено | 1.1.0 |
Авторизация беспроводного доступа перед разрешением таких подключений
Идентификатор: NIST SP 800-171 R2 3.1.16 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Документирование и реализация рекомендаций по беспроводному доступу | CMA_0190 . Документируйте и реализуйте рекомендации по беспроводному доступу | Вручную, отключено | 1.1.0 |
| Защита беспроводного доступа | CMA_0411 — защита беспроводного доступа | Вручную, отключено | 1.1.0 |
Защита беспроводного доступа с помощью проверки подлинности и шифрования
Идентификатор: NIST SP 800-171 R2 3.1.17 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Документирование и реализация рекомендаций по беспроводному доступу | CMA_0190 . Документируйте и реализуйте рекомендации по беспроводному доступу | Вручную, отключено | 1.1.0 |
| Идентификация и аутентификация сетевых устройств | CMA_0296 — Идентификация и аутентификация сетевых устройств | Вручную, отключено | 1.1.0 |
| Защита беспроводного доступа | CMA_0411 — защита беспроводного доступа | Вручную, отключено | 1.1.0 |
Управление подключением мобильных устройств.
Идентификатор: NIST SP 800-171 R2 3.1.18 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение требований к мобильным устройствам | CMA_0122. Определение требований к мобильным устройствам | Вручную, отключено | 1.1.0 |
Шифрование CUI на мобильных устройствах и мобильных вычислительных платформах
Идентификатор: NIST SP 800-171 R2 3.1.19 Владение: общее
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение требований к мобильным устройствам | CMA_0122. Определение требований к мобильным устройствам | Вручную, отключено | 1.1.0 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
Ограничить системный доступ к типам транзакций и функций, которые авторизованные пользователи могут выполнять.
Идентификатор: NIST SP 800-171 R2 3.1.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Audit, Disabled | 1.0.1 |
| Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
| Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
| Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
| Необходимо удалить заблокированные учетные записи с разрешениями владельца для ресурсов Azure. | Устаревшие учетные записи с разрешениями владельца следует удалять из подписки. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Принудительное использование всех учетных записей | CMA_C1023. Принудительное использование всех учетных записей | Вручную, отключено | 1.1.0 |
| Принудительный логический доступ | CMA_0245 — Принудительный логический доступ | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Гостевые учетные записи с разрешениями владельца для ресурсов Azure должны быть удалены | Внешние учетные записи с разрешениями владельца должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на чтение ресурсов Azure должны быть удалены | Внешние учетные записи с правами на чтение должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Гостевые учетные записи с разрешениями на запись в ресурсах Azure должны быть удалены | Внешние учетные записи с правами на запись должны быть удалены из подписки, чтобы предотвратить неотслеживаемый доступ. | AuditIfNotExists, Disabled | 1.0.0 |
| Мониторинг назначения привилегированной роли | CMA_0378 — Мониторинг назначения привилегированной роли | Вручную, отключено | 1.1.0 |
| Требование утверждения для создания учетной записи | CMA_0431 — Требование утверждения для создания учетной записи | Вручную, отключено | 1.1.0 |
| Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
| Проверка групп пользователей и приложений с доступом к конфиденциальным данным | CMA_0481 — Проверка групп пользователей и приложений с доступом к конфиденциальным данным | Вручную, отключено | 1.1.0 |
| Отзыв привилегированных ролей при необходимости | CMA_0483 — Отзыв привилегированных ролей при необходимости | Вручную, отключено | 1.1.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
| Необходимо перенести учетные записи хранения в новые ресурсы Azure Resource Manager | Используйте для своих учетных записей хранения новый выпуск Azure Resource Manager версии 2 с усовершенствованными функциями безопасности, включая более строгое управление доступом (RBAC), улучшенный аудит, развертывание и управление на основе Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
| Использование Privileged Identity Management | CMA_0533 — Использование Privileged Identity Management | Вручную, отключено | 1.1.0 |
| Виртуальные машины должны быть перенесены на новые ресурсы Azure Resource Manager | Используйте для своих виртуальных машин новый выпуск Azure Resource Manager с улучшенными функциями безопасности, включая более строгий контроль доступа (RBAC), улучшенный аудит, развертывание и управление на основе Azure Resource Manager, доступ к управляемым удостоверениям и хранилищам ключей для секретов, проверку подлинности на основе Azure AD, а также поддержку тегов и групп ресурсов, упрощающих управление защитой. | Audit, Deny, Disabled | 1.0.0 |
Проверка и контроль и ограничение подключений к внешним системам и их использование.
Идентификатор: NIST SP 800-171 R2 3.1.20 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Создание условий для доступа к ресурсам | CMA_C1076. Создание условий для доступа к ресурсам | Вручную, отключено | 1.1.0 |
| Создание условий для обработки ресурсов | CMA_C1077. Создание условий для обработки ресурсов | Вручную, отключено | 1.1.0 |
Ограничение использования переносимых устройств хранения во внешних системах.
Идентификатор: NIST SP 800-171 R2 3.1.21 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
| Управление использованием переносимых устройств хранения | CMA_0083 . Управление использованием переносимых устройств хранения | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Управление CUI, размещенное или обработанное в общедоступных системах.
Идентификатор: NIST SP 800-171 R2 3.1.22 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение авторизованного персонала для публикации общедоступной информации | CMA_C1083 . Назначение авторизованного персонала для публикации общедоступной информации | Вручную, отключено | 1.1.0 |
| Просмотр содержимого перед публикацией общедоступной информации | CMA_C1085 . Просмотр содержимого перед публикацией общедоступной информации | Вручную, отключено | 1.1.0 |
| Просмотр общедоступного содержимого для неопубликованных сведений | CMA_C1086. Просмотр общедоступного содержимого для неопубликованных сведений | Вручную, отключено | 1.1.0 |
| Обучение персонала по раскрытию неопубликованных сведений | CMA_C1084 — обучение персонала по раскрытию неопубликованных сведений | Вручную, отключено | 1.1.0 |
Управление потоком контролируемой несекретной информации в соответствии с утвержденными авторизациями
Идентификатор: NIST SP 800-171 R2 3.1.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
| Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен | Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети | Центр безопасности Azure анализирует шаблоны трафика виртуальных машин, доступных через Интернет, и предоставляет рекомендации по правилам группы безопасности сети, которые уменьшают потенциальную область атаки. | AuditIfNotExists, Disabled | 3.0.0 |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| Службы управления API должны использовать виртуальную сеть | Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. | Audit, Deny, Disabled | 1.0.2 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Audit, Disabled | 2.0.1 |
| Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
| Служба "Azure API для FHIR" должна использовать частный канал | Служба "Azure API для FHIR" должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал | С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны отключить доступ к общедоступной сети | При отключении доступа к общедоступной сети повышается уровень безопасность, так как это гарантирует, что служба "Когнитивный поиск Azure" не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. | Audit, Deny, Disabled | 2.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| У Azure Key Vault должен быть включен брандмауэр | Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. | Audit, Deny, Disabled | 3.2.1 |
| Для хранилищ ключей Azure должен использоваться приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Служба Azure Web PubSub должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Cognitive Services должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. См. дополнительные сведения о сетевых правилах Реестра контейнеров: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network и https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Управление потоком информации | CMA_0079 — Управление потоком информации | Вручную, отключено | 1.1.0 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Применение механизмов управления потоком зашифрованных данных | CMA_0211 — Применение механизмов управления потоком зашифрованных данных | Вручную, отключено | 1.1.0 |
| Установка стандартов конфигурации брандмауэра и маршрутизатора | CMA_0272 — Установка стандартов конфигурации брандмауэра и маршрутизатора | Вручную, отключено | 1.1.0 |
| Создание сегментации сети для среды данных держателей карт | CMA_0273 — Создание сегментации сети для среды данных держателей карт | Вручную, отключено | 1.1.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Определение обмена нисходящими данными и управление им | CMA_0298 — Определение обмена нисходящими данными и управление им | Вручную, отключено | 1.1.0 |
| Управление потоком информации с помощью фильтров политик безопасности | CMA_C1029 — управление потоком информации с помощью фильтров политик безопасности | Вручную, отключено | 1.1.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Для серверов MariaDB необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов MySQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов PostgreSQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
| Для северов MariaDB должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. | Audit, Deny, Disabled | 2.0.0 |
| Для северов MySQL должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. | Audit, Deny, Disabled | 2.0.0 |
| Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. | Audit, Deny, Disabled | 2.0.1 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Audit, Deny, Disabled | 1.0.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
| Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Разделение обязанностей отдельных лиц во избежание сговора и снижения риска злонамеренных действий
Идентификатор: NIST SP 800-171 R2 3.1.4 Владение: общее
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Аудит компьютеров с Windows без любого из указанных участников в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если в локальной группе администраторов отсутствует один или несколько участников, указанных в параметре политики. | auditIfNotExists | 2.0.0 |
| Аудит компьютеров Windows с указанными участниками в группе администраторов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если локальная группа администраторов содержит одного или нескольких участников, указанных в параметре политики. | auditIfNotExists | 2.0.0 |
| Определение авторизации доступа для поддержки разделения обязанностей | CMA_0116. Определение авторизации доступа для поддержки разделения обязанностей | Вручную, отключено | 1.1.0 |
| Разделение обязанностей | CMA_0204 . Разделение обязанностей в документе | Вручную, отключено | 1.1.0 |
| Отдельные обязанности отдельных лиц | CMA_0492 - Отдельные обязанности отдельных лиц | Вручную, отключено | 1.1.0 |
| Подписке должно быть назначено более одного владельца | Мы рекомендуем назначить более одного владельца подписки, чтобы обеспечить избыточность для административного доступа. | AuditIfNotExists, Disabled | 3.0.0 |
Применение принципа самого низкого уровня привилегий, в том числе для отдельных функций безопасности и привилегированных учетных записей.
Идентификатор: NIST SP 800-171 R2 3.1.5 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Подписке должно быть назначено не более 3 владельцев | Мы рекомендуем назначать подписке не более трех владельцев, чтобы снизить вероятность нарушения безопасности при компрометации владельца. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит использования пользовательских ролей RBAC | Аудит встроенных ролей, таких как "Владелец", "Участник", "Читатель", вместо настраиваемых ролей RBAC, использование которых сопряжено с ошибками. Работа с пользовательскими ролями рассматривается как исключение и требует строгой проверки с моделированием угроз. | Audit, Disabled | 1.0.1 |
| Авторизация доступа к функциям безопасности и информации о безопасности | CMA_0022 — Авторизация доступа к функциям безопасности и информации о безопасности | Вручную, отключено | 1.1.0 |
| Авторизация и управление доступом | CMA_0023 — Авторизация и управление доступом | Вручную, отключено | 1.1.0 |
| Проектирование модели управления доступом | CMA_0129 — Проектирование модели управления доступом | Вручную, отключено | 1.1.0 |
| Использование минимальных прав доступа | CMA_0212 — Использование минимальных прав доступа | Вручную, отключено | 1.1.0 |
| Принудительное применение обязательных и избирательных политик управления доступом | CMA_0246 — Принудительное применение обязательных и избирательных политик управления доступом | Вручную, отключено | 1.1.0 |
| Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
Запрет непривилегированным пользователям выполнять привилегированные действия, а также собирать сведения о выполнении таких действий в журналах аудита.
Идентификатор: NIST SP 800-171 R2 3.1.7 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
| Анализ полнотекстового журнала привилегированных команд | CMA_0056. Проведение полнотекстового анализа команд привилегированных пользователей | Вручную, отключено | 1.1.0 |
| Мониторинг назначения привилегированной роли | CMA_0378 — Мониторинг назначения привилегированной роли | Вручную, отключено | 1.1.0 |
| Ограничение доступа к привилегированным учетным записям | CMA_0446 — Ограничение доступа к привилегированным учетным записям | Вручную, отключено | 1.1.0 |
| Отзыв привилегированных ролей при необходимости | CMA_0483 — Отзыв привилегированных ролей при необходимости | Вручную, отключено | 1.1.0 |
| Использование Privileged Identity Management | CMA_0533 — Использование Privileged Identity Management | Вручную, отключено | 1.1.0 |
Ограничение неудачных попыток входа.
Идентификатор: NIST SP 800-171 R2 3.1.8 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Принудительное применение ограничения последовательных неудачных попыток входа | CMA_C1044. Принудительное применение ограничения последовательных неудачных попыток входа | Вручную, отключено | 1.1.0 |
Физическая защита
Ограничение физического доступа к организационным системам, оборудованию и соответствующим операционным средам авторизованным лицам.
Идентификатор: NIST SP 800-171 R2 3.10.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
Защита и мониторинг физического объекта и инфраструктуры поддержки для организационных систем.
Идентификатор: NIST SP 800-171 R2 3.10.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Установка системы сигнализации | CMA_0338. Установка системы сигнализации | Вручную, отключено | 1.1.0 |
| Управление системой безопасной камеры наблюдения | CMA_0354 . Управление безопасной системой камеры наблюдения | Вручную, отключено | 1.1.0 |
Эскортировать посетителей и отслеживать активность посетителей.
Идентификатор: NIST SP 800-171 R2 3.10.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
Обслуживание журналов аудита физического доступа.
Идентификатор: NIST SP 800-171 R2 3.10.4 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
Управление устройствами физического доступа и управление ими.
Идентификатор: NIST SP 800-171 R2 3.10.5 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление физическим доступом | CMA_0081 — Управление физическим доступом | Вручную, отключено | 1.1.0 |
| Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
| Создание и обслуживание инвентаризации активов | CMA_0266. Создание и обслуживание инвентаризации активов | Вручную, отключено | 1.1.0 |
| Реализация физической безопасности для офисов, рабочих областей и безопасных областей | CMA_0323 . Реализация физической безопасности для офисов, рабочих областей и безопасных областей | Вручную, отключено | 1.1.0 |
Применение мер защиты для CUI на альтернативных рабочих сайтах.
Идентификатор: NIST SP 800-171 R2 3.10.6 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация элементов управления для защиты альтернативных рабочих сайтов | CMA_0315 — Реализация элементов управления для защиты альтернативных рабочих сайтов | Вручную, отключено | 1.1.0 |
конфиденциальности
Периодически оценивает риск для организационных операций, ресурсов организации и отдельных лиц, в результате работы систем организации и связанной обработки, хранения или передачи CUI
Идентификатор: NIST SP 800-171 R2 3.11.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка риска в отношениях сторонних производителей | CMA_0014. Оценка риска в отношениях сторонних производителей | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
Проверка наличия уязвимостей в системах и приложениях организации, выполняемая периодически и при обнаружении новых уязвимостей, которые их затрагивают
Идентификатор: NIST SP 800-171 R2 3.11.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, Disabled | 3.0.0 |
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Реализация привилегированного доступа для выполнения действий сканирования уязвимостей | CMA_C1555. Реализация привилегированного доступа для выполнения действий сканирования уязвимостей | Вручную, отключено | 1.1.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, Disabled | 4.1.0 |
| Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены | Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо устранить уязвимости в конфигурациях безопасности контейнера. | Аудит уязвимостей в конфигурации безопасности на компьютерах с установленным Docker и отображение результатов в качестве рекомендаций в Центре безопасности Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
| Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. | Аудит наличия уязвимостей ОС в ваших масштабируемых наборах виртуальных машин для защиты их от атак. | AuditIfNotExists, Disabled | 3.0.0 |
| В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
| На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 3.0.0 |
| В рабочих областях Synapse должна быть включена оценка уязвимостей | Обнаруживайте, отслеживайте и устраняйте потенциальные уязвимости, настроив регулярную оценку уязвимостей SQL для рабочих областей Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Устранение уязвимостей в соответствии с оценками рисков.
Идентификатор: NIST SP 800-171 R2 3.11.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, Disabled | 3.0.0 |
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, Disabled | 4.1.0 |
| Уязвимости, обнаруженные на серверах SQL Server на компьютерах, должны быть устранены | Оценка уязвимостей SQL сканирует базу данных на наличие уязвимостей системы безопасности и выявляет любые отклонения от рекомендаций, такие как ошибки конфигурации, избыточные разрешения и незащищенные конфиденциальные данные. Устранение уязвимостей может существенно улучшить защиту базы данных. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо устранить уязвимости в конфигурациях безопасности контейнера. | Аудит уязвимостей в конфигурации безопасности на компьютерах с установленным Docker и отображение результатов в качестве рекомендаций в Центре безопасности Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
| Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. | Аудит наличия уязвимостей ОС в ваших масштабируемых наборах виртуальных машин для защиты их от атак. | AuditIfNotExists, Disabled | 3.0.0 |
| В Управляемых экземплярах SQL должна быть включена оценка уязвимостей | Проверка каждого Управляемого экземпляра SQL с отключенной регулярной оценкой уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 1.0.1 |
| На серверах SQL Server должна быть включена оценка уязвимости | Аудит серверов SQL Azure, которые не имеют правильной настройки оценки уязвимостей. Решение "Оценка уязвимостей" может обнаруживать, отслеживать и помогать исправлять потенциальные уязвимости баз данных. | AuditIfNotExists, Disabled | 3.0.0 |
| В рабочих областях Synapse должна быть включена оценка уязвимостей | Обнаруживайте, отслеживайте и устраняйте потенциальные уязвимости, настроив регулярную оценку уязвимостей SQL для рабочих областей Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Оценка безопасности
Периодическая оценка элементов управления безопасностью в системах организации, чтобы оценить эффективность их применения в корпоративных приложениях.
Идентификатор: NIST SP 800-171 R2 3.12.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Оценка элементов управления безопасностью | CMA_C1145 . Оценка элементов управления безопасностью | Вручную, отключено | 1.1.0 |
| Результаты оценки безопасности | CMA_C1147. Результаты оценки безопасности | Вручную, отключено | 1.1.0 |
| Разработка плана оценки безопасности | CMA_C1144. Разработка плана оценки безопасности | Вручную, отключено | 1.1.0 |
| Создание отчета об оценке безопасности | CMA_C1146 . Создание отчета об оценке безопасности | Вручную, отключено | 1.1.0 |
Разработка и реализация планов действий, направленных на исправление недостатков и сокращение или устранение уязвимостей в организационных системах.
Идентификатор: NIST SP 800-171 R2 3.12.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка POA&M | CMA_C1156 . Разработка POA&M | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Реализация планов действий и вех для процесса программы безопасности | CMA_C1737 . Реализация планов действий и вех для процесса программы безопасности | Вручную, отключено | 1.1.0 |
| Обновление элементов POA&M | CMA_C1157 — обновление элементов POA&M | Вручную, отключено | 1.1.0 |
Постоянный мониторинг средств управления безопасностью для поддержания их непрерывной эффективности.
Идентификатор: NIST SP 800-171 R2 3.12.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Настройка списка разрешений обнаружения | CMA_0068. Настройка списка разрешений по обнаружению | Вручную, отключено | 1.1.0 |
| Включение датчиков для решения безопасности конечной точки | CMA_0514 — Включение датчиков для решения безопасности конечной точки | Вручную, отключено | 1.1.0 |
| Прохождение независимой проверки безопасности | CMA_0515. Прохождение независимой проверки безопасности | Вручную, отключено | 1.1.0 |
Разработка, документирование и периодическое обновление планов безопасности системы, описывающих границы системы, системные среды операций, реализацию требований безопасности и связи с другими системами или подключениями.
Идентификатор: NIST SP 800-171 R2 3.12.4 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Разработка и создание плана безопасности системы | CMA_0151 . Разработка и создание плана безопасности системы | Вручную, отключено | 1.1.0 |
| Разработка политик и процедур информационной безопасности | CMA_0158 . Разработка политик и процедур информационной безопасности | Вручную, отключено | 1.1.0 |
| Разработка служб SSP, удовлетворяющих критериям | CMA_C1492 . Разработка SSP, соответствующего критериям | Вручную, отключено | 1.1.0 |
| Создание программы конфиденциальности | CMA_0257 . Создание программы конфиденциальности | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Установка требований к безопасности для производства подключенных устройств | CMA_0279. Создание требований к безопасности для производства подключенных устройств | Вручную, отключено | 1.1.0 |
| Реализация принципов проектирования безопасности информационных систем | CMA_0325 . Реализация принципов проектирования безопасности информационных систем | Вручную, отключено | 1.1.0 |
| Обновление политик информационной безопасности | CMA_0518. Обновление политик информационной безопасности | Вручную, отключено | 1.1.0 |
Защита системы и средств передачи данных
Мониторинг, контроль и защита обмена данными (т. е. информации, передаваемой или полученной системами организации) на внешних и основных внутренних границах систем организации
Идентификатор: NIST SP 800-171 R2 3.13.1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
| Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен | Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети | Центр безопасности Azure анализирует шаблоны трафика виртуальных машин, доступных через Интернет, и предоставляет рекомендации по правилам группы безопасности сети, которые уменьшают потенциальную область атаки. | AuditIfNotExists, Disabled | 3.0.0 |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| Службы управления API должны использовать виртуальную сеть | Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. | Audit, Deny, Disabled | 1.0.2 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Audit, Disabled | 2.0.1 |
| Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
| Служба "Azure API для FHIR" должна использовать частный канал | Служба "Azure API для FHIR" должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал | С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны отключить доступ к общедоступной сети | При отключении доступа к общедоступной сети повышается уровень безопасность, так как это гарантирует, что служба "Когнитивный поиск Azure" не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. | Audit, Deny, Disabled | 2.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| У Azure Key Vault должен быть включен брандмауэр | Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. | Audit, Deny, Disabled | 3.2.1 |
| Для хранилищ ключей Azure должен использоваться приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
| Служба Azure Web PubSub должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Cognitive Services должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. См. дополнительные сведения о сетевых правилах Реестра контейнеров: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network и https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Для серверов MariaDB необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов MySQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов PostgreSQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
| Для северов MariaDB должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. | Audit, Deny, Disabled | 2.0.0 |
| Для северов MySQL должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. | Audit, Deny, Disabled | 2.0.0 |
| Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. | Audit, Deny, Disabled | 2.0.1 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Audit, Deny, Disabled | 1.0.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
| Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
| Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
Создание криптографических ключей и управление ими для шифрования в системах организации.
Идентификатор: NIST SP 800-171 R2 3.13.10 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Хранилища Служб восстановления Azure должны использовать управляемые клиентом ключи для шифрования данных резервных копий. | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных резервных копий. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| [Предварительная версия]. Данные Службы подготовки устройств к добавлению в Центр Интернета вещей должны быть зашифрованы ключами под управлением клиента | Используйте ключи, управляемые клиентом, для шифрования неактивных данных в Службе подготовки устройств к добавлению в Центр Интернета вещей. Неактивные данные автоматически шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются управляемые клиентом ключи (CMK). Ключи CMK позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. См. дополнительные сведения о шифровании CMK: https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| Служба "Azure API для FHIR" должна использовать для шифрования неактивных данных ключ, управляемый клиентом | Используйте ключи, управляемые клиентом, чтобы управлять шифрованием неактивных данных, хранящихся в службе "Azure API для FHIR", если это предусмотрено нормативными требованиями. Кроме того, ключи, управляемые клиентом,обеспечивают двойное шифрование, добавляя второй уровень шифрования поверх заданного по умолчанию способа (с помощью ключей, управляемых службой). | audit, Audit, disabled, Disabled | 1.1.0 |
| Учетные записи службы автоматизации Azure должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в учетных записях службы автоматизации Azure. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/automation-cmk. | Audit, Deny, Disabled | 1.0.0 |
| Учетная запись пакетной службы Azure должна использовать управляемые клиентом ключи для шифрования данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в учетной записи пакетной службы. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/Batch-CMK. | Audit, Deny, Disabled | 1.0.1 |
| Группа контейнеров экземпляров контейнеров Azure должна использовать для шифрования ключ, управляемый клиентом | Защита контейнеров благодаря увеличению гибкости с помощью ключей, управляемых клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Audit, Disabled, Deny | 1.0.0 |
| Учетные записи Azure Cosmos DB должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в Azure Cosmos DB. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/cosmosdb-cmk. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| В заданиях Azure Data Box для шифрования пароля разблокировки устройства должен использоваться ключ, управляемый клиентом | Для управления шифрованием пароля разблокировки устройства для Azure Data Box следует использовать ключ, управляемый клиентом. Ключи, управляемые клиентом, также позволяют управлять доступом службы Data Box к паролю разблокировки устройства, чтобы подготовить устройство и автоматически копировать данные. Данные на самом устройстве шифруются при хранении с помощью 256-разрядного шифрования AES, а пароль разблокировки устройства шифруется по умолчанию с помощью ключа, управляемого Майкрософт. | Audit, Deny, Disabled | 1.0.0 |
| Во время шифрования неактивных данных в Azure Data Explorer должен использоваться управляемый клиентом ключ | Включение шифрования неактивных данных с помощью управляемого клиентом ключа в кластере Azure Data Explorer обеспечивает дополнительный контроль над ключом, используемым для шифрования неактивных данных. Эта функция часто применяется для клиентов с особыми нормативными требованиями. Для управления ключами требуется Key Vault. | Audit, Deny, Disabled | 1.0.0 |
| Фабрики данных Azure необходимо шифровать с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в Фабрике данных Azure. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
| Кластеры Azure HDInsight должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого в кластерах Azure HDInsight. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/hdi.cmk. | Audit, Deny, Disabled | 1.0.1 |
| Кластеры Azure HDInsight должны использовать шифрование на узле для шифрования неактивных данных | Включение шифрования на узле помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. При включении шифрования на узле данные, хранящиеся на узле виртуальной машины, шифруются при хранении и передаются в зашифрованном виде в службу хранилища. | Audit, Deny, Disabled | 1.0.0 |
| Рабочие области Машинного обучения Azure должны быть зашифрованы с использованием ключа, управляемого клиентом | Управляйте шифрованием неактивных данных рабочей области Машинного обучения Azure с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Кластеры журналов Azure Monitor должны использовать шифрование с ключами, управляемыми клиентом | Создайте кластер журналов Azure Monitor с шифрованием с ключами, управляемыми клиентом. По умолчанию данные журналов шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключ, управляемый клиентом, в Azure Monitor предоставляет более полный контроль над доступом к данным (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys). | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Для шифрования данных задания Azure Stream Analytics должны использоваться ключи, управляемые клиентом | Чтобы обеспечить безопасное хранение метаданных и частных ресурсов данных для заданий Stream Analytics в учетной записи хранения, используйте ключи, управляемые клиентом. Таким образом, вы сможете полностью контролировать шифрование данных Stream Analytics. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Рабочие области Azure Synapse должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте управляемые клиентом ключи для управления шифрованием неактивных данных, хранящихся в рабочих областях Azure Synapse. Кроме того, ключи, управляемые клиентом, обеспечивают двойное шифрование, добавляя второй уровень шифрования поверх заданного по умолчанию способа (с помощью ключей, управляемых службой). | Audit, Deny, Disabled | 1.0.0 |
| Служба Bot должна шифроваться с помощью ключа, управляемого клиентом | Служба Azure Bot автоматически шифрует ваш ресурс для обеспечения защиты данных и соблюдения требований к безопасности и соответствию в организации. По умолчанию используются ключи шифрования, управляемые корпорацией Майкрософт. Для большей гибкости управления ключами или управления доступом к подписке выберите ключи, управляемые клиентом, которые также называются собственными ключами (BYOK). Подробнее о шифровании в службе Azure Bot: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Операционные системы и диски данных в кластерах Службы Azure Kubernetes должны быть зашифрованы с помощью ключей, управляемых клиентом | Шифрование дисков ОС и данных с помощью ключей, управляемых клиентом, обеспечивает больший контроль и большую гибкость в управлении ключами. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Audit, Deny, Disabled | 1.0.1 |
| Учетные записи Cognitive Services должны поддерживать шифрование данных с использованием ключа, управляемого клиентом | Для соблюдения стандартов соответствия нормативным требованиям обычно требуется использовать ключи, управляемые клиентом. Они позволяют шифровать данные, хранящиеся в Cognitive Services, с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения о ключах, управляемых клиентом, см. здесь: https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
| Реестры контейнеров должны шифроваться с помощью ключа, управляемого клиентом | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого реестров. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| Определение физического процесса управления ключами | CMA_0115 — Определение физического процесса управления ключами | Вручную, отключено | 1.1.0 |
| Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
| Определение требований организации к управлению криптографическими ключами | CMA_0123 — Определение требований организации к управлению криптографическими ключами | Вручную, отключено | 1.1.0 |
| Определение требований к утверждению | CMA_0136 — Определение требований к утверждению | Вручную, отключено | 1.1.0 |
| Для шифрования пространства имен концентратора событий должны использовать ключ, управляемый клиентом | Служба "Центры событий Azure" поддерживает возможность шифрования неактивных данных с помощью ключей, управляемых корпорацией Майкрософт (по умолчанию), или ключей, управляемых клиентом. Шифрование данных с помощью ключей, управляемых клиентом, позволяет назначать, сменять, отключать ключи, которые концентратор событий будет использовать для шифрования данных в вашем пространстве имен, и отменять к ним доступ. Обратите внимание, что концентратор событий поддерживает шифрование с использованием ключей, управляемых клиентом, только для пространств имен в выделенных кластерах. | Audit, Disabled | 1.0.0 |
| Учетные записи HPC Cache должны использовать для шифрования ключ, управляемый клиентом | Управление шифрованием неактивных данных рабочей HPC Cache с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | Audit, Disabled, Deny | 2.0.0 |
| Выдача сертификатов открытого ключа | CMA_0347 — Выдача сертификатов открытого ключа | Вручную, отключено | 1.1.0 |
| Среда службы интеграции Logic Apps должна быть зашифрована с помощью ключей, управляемых клиентом | Выполните развертывание в среде службы интеграции для управления шифрованием неактивных данных Logic Apps с помощью ключей, управляемых клиентом. По умолчанию пользовательские данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | Audit, Deny, Disabled | 1.0.0 |
| Управление симметричными криптографическими ключами | CMA_0367 — Управление симметричными криптографическими ключами | Вручную, отключено | 1.1.0 |
| Управляемые диски должны использовать двойное шифрование с ключами под управлением платформы и клиента | Клиенты с высокими требованиями к безопасности, которых беспокоят риски компрометации тех или иных алгоритмов, реализаций или ключей шифрования, могут использовать дополнительный уровень шифрования с другим режимом или алгоритмом на уровне инфраструктуры с применением ключей, управляемых платформой. Двойное шифрование является обязательным для наборов шифрования дисков. Узнайте больше по адресу https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
| Серверы MySQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах MySQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | AuditIfNotExists, Disabled | 1.0.4 |
| Диски ОС и диски данных должны быть зашифрованы ключом под управлением клиента | Использование ключей, управляемых клиентом, для управления шифрованием неактивного управляемых дисков. По умолчанию неактивные данные шифруются с помощью ключей, управляемых платформой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Узнайте больше по адресу https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| Серверы PostgreSQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивного содержимого на серверах PostgreSQL. По умолчанию неактивные данные шифруются с помощью ключей, управляемых службой, но для соблюдения нормативных требований обычно требуются ключи, управляемые клиентом. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. | AuditIfNotExists, Disabled | 1.0.4 |
| Ограничение доступа к закрытым ключам | CMA_0445 — Ограничение доступа к закрытым ключам | Вручную, отключено | 1.1.0 |
| Сохраненные запросы в Azure Monitor должны быть сохранены в учетной записи хранения клиента для шифрования журналов | Свяжите учетную запись хранения с рабочей областью Log Analytics, чтобы защитить сохраненные запросы с помощью шифрования учетной записи хранения. Ключи, управляемые клиентом, обычно требуются для соблюдения нормативных требований и усиления контроля за доступом к сохраненным запросам в Azure Monitor. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Для шифрования пространства имен Служебной шины уровня "Премиум" должны использовать ключ, управляемый клиентом | Служебная шина Azure поддерживает возможность шифрования неактивных данных с помощью ключей, управляемых корпорацией Майкрософт (по умолчанию), или ключей, управляемых клиентом. Шифрование данных с помощью управляемых клиентом ключей позволяет назначать, сменять, отключать ключи, которые Служебная шина будет использовать для шифрования данных в вашем пространстве имен, и отменять к ним доступ. Учтите, что Служебная шина поддерживает шифрование с использованием ключей, управляемых клиентом, только для пространств имен уровня "Премиум". | Audit, Disabled | 1.0.0 |
| Управляемые экземпляры SQL должны использовать ключи, управляемые клиентом, для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим собственным ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.0 |
| Серверы SQL должны использовать управляемые клиентом ключи для шифрования неактивных данных | Реализация прозрачного шифрования данных (TDE) с вашим ключом обеспечивает повышенную прозрачность и контроль над предохранителем TDE, а также дополнительную защиту за счет использования внешней службы с поддержкой HSM и содействие разделению обязанностей. Эта рекомендация относится к организациям, имеющим связанное требование по соответствию. | Audit, Deny, Disabled | 2.0.1 |
| В областях шифрования учетных записей хранения следует использовать ключи, управляемые клиентом, для шифрования неактивных данных | Используйте ключи, управляемые клиентом, для управления шифрованием неактивных данных в областях шифрования учетной записи хранения. Ключи, управляемые клиентом, позволяют шифровать данные с помощью ключа Azure Key Vault, создателем и владельцем которого являетесь вы. Вы полностью контролируете жизненный цикл ключа, включая его смену и управление им. Дополнительные сведения об областях шифрования учетной записи хранения см. здесь: https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
| В учетных записях хранения должен использоваться управляемый клиентом ключ шифрования | Обеспечьте более гибкую защиту своей учетной записи хранения BLOB-объектов и файлов, используя ключи, управляемые клиентом. Указанный ключ CMK используется для защиты доступа к ключу, который шифрует данные, и управления этим доступом. Использование ключей, управляемых клиентом, предоставляет дополнительные возможности для управления сменой ключей шифрования или криптографического стирания данных. | Audit, Disabled | 1.0.3 |
Применение шифрования, проверенного FIPS, для защиты конфиденциальности контролируемой несекретной информации.
Идентификатор: NIST SP 800-171 R2 3.13.11 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Определение использования шифрования | CMA_0120 — Определение использования шифрования | Вручную, отключено | 1.1.0 |
Запрет удаленной активации устройств для совместной работы и указание устройств, используемых пользователям на устройстве
Идентификатор: NIST SP 800-171 R2 3.13.12 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Явно уведомлять об использовании вычислительных устройств для совместной работы | CMA_C1649. Явно уведомлять об использовании устройств для совместной работы с вычислительными устройствами | Вручную, отключено | 1.1.1 |
| Запрет удаленной активации устройств для совместной работы | CMA_C1648. Запрет удаленной активации устройств для совместной работы | Вручную, отключено | 1.1.0 |
Управляйте и отслеживайте использование мобильного кода.
Идентификатор: NIST SP 800-171 R2 3.13.13 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Авторизация, мониторинг и управление использованием технологий мобильного кода | CMA_C1653. Авторизация, мониторинг и управление использованием технологий мобильного кода | Вручную, отключено | 1.1.0 |
| Определение приемлемых и неприемлемых технологий мобильного кода | CMA_C1651. Определение допустимых и неприемлемых технологий мобильного кода | Вручную, отключено | 1.1.0 |
| Установка ограничений использования для технологий мобильного кода | CMA_C1652. Установка ограничений использования для технологий мобильного кода | Вручную, отключено | 1.1.0 |
Управление и мониторинг использования технологий Голосовой связи через Интернет (VoIP).
Идентификатор: NIST SP 800-171 R2 3.13.14 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Авторизация, мониторинг и управление voip | CMA_0025 . Авторизация, мониторинг и управление voip | Вручную, отключено | 1.1.0 |
| Установка ограничений использования voip | CMA_0280. Установка ограничений использования voip | Вручную, отключено | 1.1.0 |
Защита подлинности для сеансов обмена данными.
Идентификатор: NIST SP 800-171 R2 3.13.15 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
| Принудительное применение идентификаторов случайных уникальных сеансов | CMA_0247. Принудительное применение случайных уникальных идентификаторов сеанса | Вручную, отключено | 1.1.0 |
Защита конфиденциальности неактивной контролируемой несекретной информации
Идентификатор: NIST SP 800-171 R2 3.13.16 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| В Среде службы приложений должно быть включено внутреннее шифрование | Присвоив параметру InternalEncryption значение true, вы обеспечите шифрование файла подкачки, дисков рабочих ролей и внутреннего сетевого трафика между внешними интерфейсами и рабочими ролями в Среде службы приложений. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Необходимо включить шифрование для переменных учетной записи службы автоматизации | Обязательно включайте шифрование ресурсов переменных в учетной записи службы автоматизации при хранении конфиденциальных данных. | Audit, Deny, Disabled | 1.1.0 |
| В заданиях Azure Data Box должно быть включено двойное шифрование для неактивных данных на устройстве | Включите второй уровень программного шифрования для неактивных данных на устройстве. Устройство уже защищено с помощью 256-разрядного шифрования AES для неактивных данных. Этот параметр добавляет второй уровень шифрования данных. | Audit, Deny, Disabled | 1.0.0 |
| Кластеры журналов Azure Monitor должны быть созданы с включенным шифрованием инфраструктуры (двойным шифрованием) | Чтобы обеспечить безопасное шифрование данных на уровне службы и на уровне инфраструктуры с применением двух разных алгоритмов шифрования и двух разных ключей, используйте выделенный кластер Azure Monitor. Этот параметр включен по умолчанию, если поддерживается в регионе (см. раздел https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview). | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Устройства Azure Stack Edge должны использовать двойное шифрование | Для защиты неактивных данных на устройстве убедитесь, что для них используется двойное шифрование, доступ к данным контролируется, а после отключения устройства данные безопасно удаляются с дисков данных. Двойное шифрование — это использование двух уровней шифрования: шифрование BitLocker XTS-AES 256-разрядного шифрования на томах данных и встроенное шифрование жестких дисков. Подробные сведения см. в документации с обзором функций безопасности для конкретного устройства Stack Edge. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| В Azure Data Explorer должно быть включено шифрование дисков | Включение шифрования дисков Azure помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. | Audit, Deny, Disabled | 2.0.0 |
| В Azure Data Explorer должно быть включено двойное шифрование | Включение двойного шифрования помогает защитить данные согласно корпоративным обязательствам по обеспечению безопасности и соответствия. Если включено двойное шифрование, данные в учетной записи хранения шифруются дважды: один раз на уровне службы и один раз на уровне инфраструктуры с использованием двух разных алгоритмов шифрования и двух разных ключей. | Audit, Deny, Disabled | 2.0.0 |
| Создание процедуры управления утечкой данных | CMA_0255 — Создание процедуры управления утечкой данных | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Необходимо включить шифрование инфраструктуры для серверов Базы данных Azure для MySQL. | Включите шифрование инфраструктуры для серверов Базы данных Azure для MySQL, чтобы гарантировать безопасность данных на более высоком уровне. При включении шифрования инфраструктуры неактивные данные шифруются дважды с помощью управляемых ключей Майкрософт, соответствующих FIPS 140-2. | Audit, Deny, Disabled | 1.0.0 |
| Необходимо включить шифрование инфраструктуры для серверов Базы данных Azure для PostgreSQL. | Включите шифрование инфраструктуры для серверов Базы данных Azure для PostgreSQL, чтобы гарантировать безопасность данных на более высоком уровне. При включении шифрования инфраструктуры неактивные данные шифруются дважды с помощью управляемых ключей Майкрософт, соответствующих FIPS 140-2 | Audit, Deny, Disabled | 1.0.0 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Защита специальной информации | CMA_0409 — Защита специальной информации | Вручную, отключено | 1.1.0 |
| Свойство ClusterProtectionLevel в кластерах Service Fabric должно иметь значение EncryptAndSign | Service Fabric поддерживает три уровня защиты (None (Нет), Sign (Подписывание) и EncryptAndSign (Шифрование и подписывание)) для взаимодействия между узлами с использованием основного сертификата кластера. Задайте уровень защиты, чтобы обеспечить шифрование и цифровое подписывание всех сообщений между узлами. | Audit, Deny, Disabled | 1.1.0 |
| В учетных записях хранения должно быть включено шифрование инфраструктуры. | Включите шифрование инфраструктуры для более высокого уровня гарантии безопасности данных. Если шифрование инфраструктуры включено, данные в учетной записи хранения шифруются дважды. | Audit, Deny, Disabled | 1.0.0 |
| Временные диски и кэш для пулов узлов агентов в кластерах Службы Azure Kubernetes должны шифроваться на узле | Для повышения безопасности неактивные данные, хранящиеся на узле виртуальной машины в Службе Azure Kubernetes, должны быть зашифрованы. Это общее требование для многих нормативных и отраслевых стандартов соответствия. | Audit, Deny, Disabled | 1.0.1 |
| В базах данных SQL должно применяться прозрачное шифрование данных | Для защиты неактивных данных и обеспечения соответствия требованиям должно быть включено прозрачное шифрование данных. | AuditIfNotExists, Disabled | 2.0.0 |
| Для виртуальных машин и их масштабируемых наборов должно быть включено шифрование на узле | Использование шифрования в узле для сквозного шифрования данных виртуальной машины и масштабируемого набора виртуальных машин. Шифрование на узле применяется для неактивных данных временного диска и кэша дисков с ОС или данными. Для шифрования (при включенном шифровании в узле) временных дисков (в том числе с ОС) используются ключи, управляемые платформой, а для неактивных данных кэша дисков с ОС или данными — управляемые платформой или клиентом, в зависимости от выбранного для диска типа шифрования. Узнайте больше по адресу https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| Виртуальные машины должны шифровать временные диски, кэши и потоки данных между вычислительными ресурсами и ресурсами хранилища | По умолчанию ОС и диски данных виртуальной машины шифруются в неактивном состоянии с помощью ключей, управляемых платформой. Временные диски, кэши данных и данные, передаваемые между вычислениями и хранилищем, не шифруются. Не учитывайте эту рекомендацию, если используется шифрование на узле или если шифрование на стороне сервера для управляемых дисков соответствует вашим требованиям к безопасности. Дополнительные сведения см. в разделах: "Шифрование Хранилища дисков Azure на стороне сервера": https://aka.ms/disksse, "Различные предложения для шифрования дисков": https://aka.ms/diskencryptioncomparison. | AuditIfNotExists, Disabled | 2.0.3 |
Применение проектов архитектуры, методик разработки программного обеспечения и принципов системной инженерии, обеспечивающих эффективность защиты информации в корпоративных системах.
Идентификатор: NIST SP 800-171 R2 3.13.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
| Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен | Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети | Центр безопасности Azure анализирует шаблоны трафика виртуальных машин, доступных через Интернет, и предоставляет рекомендации по правилам группы безопасности сети, которые уменьшают потенциальную область атаки. | AuditIfNotExists, Disabled | 3.0.0 |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| Службы управления API должны использовать виртуальную сеть | Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. | Audit, Deny, Disabled | 1.0.2 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Audit, Disabled | 2.0.1 |
| Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
| Служба "Azure API для FHIR" должна использовать частный канал | Служба "Azure API для FHIR" должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал | С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны отключить доступ к общедоступной сети | При отключении доступа к общедоступной сети повышается уровень безопасность, так как это гарантирует, что служба "Когнитивный поиск Azure" не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. | Audit, Deny, Disabled | 2.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| У Azure Key Vault должен быть включен брандмауэр | Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. | Audit, Deny, Disabled | 3.2.1 |
| Для хранилищ ключей Azure должен использоваться приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
| Служба Azure Web PubSub должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Cognitive Services должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. См. дополнительные сведения о сетевых правилах Реестра контейнеров: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network и https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Для серверов MariaDB необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов MySQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов PostgreSQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
| Для северов MariaDB должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. | Audit, Deny, Disabled | 2.0.0 |
| Для северов MySQL должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. | Audit, Deny, Disabled | 2.0.0 |
| Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. | Audit, Deny, Disabled | 2.0.1 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Audit, Deny, Disabled | 1.0.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
| Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
| Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
Отделение пользовательских функций от функций управления системой.
Идентификатор: NIST SP 800-171 R2 3.13.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Авторизация удаленного доступа | CMA_0024 — Авторизация удаленного доступа | Вручную, отключено | 1.1.0 |
| Отдельные функции управления пользователями и информационной системой | CMA_0493 — отдельные функции управления пользователями и информационной системой | Вручную, отключено | 1.1.0 |
| Использование выделенных компьютеров для административных задач | CMA_0527. Использование выделенных компьютеров для административных задач | Вручную, отключено | 1.1.0 |
Реализация подсетей для общедоступных компонентов системы, которые физически или логически отделены от внутренних сетей
Идентификатор: NIST SP 800-171 R2 3.13.5 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
| Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен | Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети | Центр безопасности Azure анализирует шаблоны трафика виртуальных машин, доступных через Интернет, и предоставляет рекомендации по правилам группы безопасности сети, которые уменьшают потенциальную область атаки. | AuditIfNotExists, Disabled | 3.0.0 |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| Службы управления API должны использовать виртуальную сеть | Развертывание виртуальной сети Azure обеспечивает повышенную безопасность, изоляцию и позволяет разместить службу "Управление API" в сети, доступом к которой будете управлять вы и которая не будет использовать маршрутизацию через Интернет. Затем эти сети можно подключить к локальным сетям с помощью различных технологий VPN, что обеспечивает доступ к внутренним службам в сети или локальной среде. Портал разработчика и шлюз API можно настроить для предоставления доступа как из Интернета, так и только в пределах виртуальной сети. | Audit, Deny, Disabled | 1.0.2 |
| Служба "Конфигурация приложений" должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с отдельными экземплярами конфигурации приложений вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Audit, Disabled | 2.0.1 |
| Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
| Служба "Azure API для FHIR" должна использовать частный канал | Служба "Azure API для FHIR" должна иметь по крайней мере одно утвержденное подключение к частной конечной точке. Клиенты в виртуальной сети могут безопасно обращаться к ресурсам, которые подключаются к частным конечным точкам через приватные каналы. Дополнительные сведения см. по адресу https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| Кэш Azure для Redis должен использовать приватный канал | Частные конечные точки позволяют подключать виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Сопоставляя частные конечные точки со своими экземплярами Кэша Azure для Redis, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба "Когнитивный поиск Azure" должна использовать SKU, поддерживающий приватный канал | С использованием поддерживаемых SKU Когнитивного поиска Azure Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со своей службой поиска, вы можете снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны отключить доступ к общедоступной сети | При отключении доступа к общедоступной сети повышается уровень безопасность, так как это гарантирует, что служба "Когнитивный поиск Azure" не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Службы Когнитивного поиска Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со службой Когнитивного поиска Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. | Audit, Deny, Disabled | 2.0.0 |
| Фабрика данных Azure должна использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Фабрикой данных Azure снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Домены Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с доменом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Разделы Сетки событий Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с разделом Сетки событий вместо всей службы, вы также обеспечите защиту от рисков утечки данных. См. дополнительные сведения: https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Синхронизация файлов Azure должна использовать приватный канал | Создав частную конечную точку для указанного ресурса службы синхронизации хранилища, можно обращаться к этому ресурсу из пространства частных IP-адресов в сети организации, а не через общедоступную конечную точку в Интернете. Создание частной конечной точки само по себе не приводит к отключению общедоступной конечной точки. | AuditIfNotExists, Disabled | 1.0.0 |
| У Azure Key Vault должен быть включен брандмауэр | Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. | Audit, Deny, Disabled | 3.2.1 |
| Для хранилищ ключей Azure должен использоваться приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с хранилищем ключей, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Рабочие области Машинного обучения Azure должны использовать Приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Машинного обучения Azure снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Пространства имен Служебной шины Azure должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен служебной шины, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба Azure SignalR должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с ресурсом Службы Azure SignalR, а не со всей службой, вы снизите риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Рабочие области Azure Synapse должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с рабочими областями Azure Synapse снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
| Служба Azure Web PubSub должна использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки со службой Azure Web PubSub, можно снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Cognitive Services должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с Cognitive Services позволяет снизить вероятность утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. См. дополнительные сведения о сетевых правилах Реестра контейнеров: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network и https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Реестры контейнеров должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа приватного канала обрабатывает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с реестрами контейнеров, а не всей службой также обеспечивает защиту от утечки данных. См. дополнительные сведения: https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| Учетные записи Cosmos DB должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью Cosmos DB снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Ресурсы для доступа к диску должны использовать частную ссылку | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставление частных конечных точек с DiskAccesses снижает риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Пространства имен концентратора событий должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставив частные конечные точки с пространствами имен концентратора событий, вы можете снизить риски утечки данных. См. дополнительные сведения: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Экземпляры Службы подготовки устройств к добавлению в Центр Интернета вещей должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек со Службой подготовки устройств к добавлению в Центр Интернета вещей снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| На виртуальной машине должна быть отключена IP-переадресация | Включение IP-переадресации на сетевом адаптере виртуальной машины позволяет компьютеру принимать трафик, адресованный другим получателям. IP-переадресация редко требуется (например, при использовании виртуальной машины в качестве сетевого виртуального модуля), поэтому она должна быть проверена командой безопасности сети. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Подключения к частной конечной точке для Базы данных SQL Azure должны быть включены | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных SQL Azure. | Audit, Disabled | 1.1.0 |
| Для серверов MariaDB необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MariaDB. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов MySQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для MySQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Для серверов PostgreSQL необходимо включить частную конечную точку. | Подключения к частной конечной точке обеспечивают защищенный обмен данными, предоставляя возможность частного доступа к Базе данных Azure для PostgreSQL. Настройте подключение к частной конечной точке, чтобы разрешить доступ к трафику, поступающему только из известных сетей, и запретить доступ со всех других IP-адресов, включая адреса в Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
| Для северов MariaDB должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. | Audit, Deny, Disabled | 2.0.0 |
| Для северов MySQL должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. | Audit, Deny, Disabled | 2.0.0 |
| Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. | Audit, Deny, Disabled | 2.0.1 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Audit, Deny, Disabled | 1.0.1 |
| Учетные записи хранения должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. При сопоставлении частных конечных точек с учетной записью хранения снижаются риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Disabled | 2.0.0 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
| Шаблоны Конструктора образов виртуальных машин должны использовать приватные каналы | Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. За счет сопоставления частных конечных точек с ресурсами Конструктора образов виртуальных машин снижается риск утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
| Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
Запрет на весь сетевой трафик по умолчанию и разрешение сетевого трафика в соответствии с исключениями (т. е. запрещен весь трафик, кроме исключений).
Идентификатор: NIST SP 800-171 R2 3.13.6 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
| Предварительная версия. Открытый доступ к учетной записи хранения должен быть запрещен | Анонимный общий доступ на чтение к контейнерам и большим двоичным объектам в службе хранилища Azure — это удобный способ обмена данными, но он может представлять угрозу безопасности. Чтобы предотвратить утечки данных, возникающие в результате нежелательного анонимного доступа, корпорация Майкрософт рекомендует запретить общий доступ к учетной записи хранения, если он не требуется для вашего сценария. | audit, Audit, deny, Deny, disabled, Disabled | 3.1.0-preview |
| На виртуальных машинах с выходом в Интернет должны применяться рекомендации по адаптивной защите сети | Центр безопасности Azure анализирует шаблоны трафика виртуальных машин, доступных через Интернет, и предоставляет рекомендации по правилам группы безопасности сети, которые уменьшают потенциальную область атаки. | AuditIfNotExists, Disabled | 3.0.0 |
| Доступ ко всем сетевым портам должен быть ограничен в связанных с виртуальной машиной группах безопасности сети. | Центр безопасности Azure определил, что некоторые правила для входящих подключений в группах безопасности сети недостаточно строгие. Правила для входящих подключений не должны разрешать доступ из диапазонов "Любой" или "Интернет". В противном случае злоумышленники смогут атаковать ваши ресурсы. | AuditIfNotExists, Disabled | 3.0.0 |
| В службах Kubernetes нужно определить разрешенные диапазоны IP-адресов | Ограничьте доступ к API управления службами Kubernetes, предоставив доступ через API только к IP-адресам в определенных диапазонах. Рекомендуется ограничить доступ к разрешенным диапазонам IP-адресов, чтобы обеспечить доступ к кластеру только для приложений из разрешенных сетей. | Audit, Disabled | 2.0.1 |
| Ресурсы служб искусственного интеллекта Azure должны ограничить доступ к сети | Ограничив сетевой доступ, вы можете убедиться, что только разрешенные сети могут получить доступ к службе. Это можно сделать, настроив правила сети, чтобы доступ к службе ИИ Azure могли получить только приложения из разрешенных сетей. | Audit, Deny, Disabled | 3.2.0 |
| Службы Когнитивного поиска Azure должны отключить доступ к общедоступной сети | При отключении доступа к общедоступной сети повышается уровень безопасность, так как это гарантирует, что служба "Когнитивный поиск Azure" не будет доступна в общедоступном Интернете. Создав частные конечные точки, можно ограничить раскрытие данных службы поиска. См. дополнительные сведения: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Учетным записям Azure Cosmos DB должны быть заданы правила брандмауэра | Правила брандмауэра должны быть определены в учетных записях Azure Cosmos DB, чтобы предотвратить поступление трафика из неавторизованных источников. Учетные записи, для которых задано хотя бы одно правило для IP-адресов и включен фильтр виртуальных сетей, считаются соответствующими требованиям. Учетные записи, запрещающие общий доступ, также считаются соответствующими требованиям. | Audit, Deny, Disabled | 2.0.0 |
| У Azure Key Vault должен быть включен брандмауэр | Включите брандмауэр хранилища ключей, чтобы хранилище ключей было недоступно по умолчанию для общедоступных IP-адресов. При необходимости можно настроить определенные диапазоны IP-адресов, чтобы ограничить доступ к этим сетям. См. дополнительные сведения: https://docs.microsoft.com/azure/key-vault/general/network-security. | Audit, Deny, Disabled | 3.2.1 |
| Брандмауэр веб-приложений Azure должен быть включен для точек входа Azure Front Door | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 1.0.2 |
| В реестрах контейнеров не должен быть разрешен неограниченный сетевой доступ | По умолчанию реестры контейнеров Azure принимают подключения через Интернет от узлов в любой сети. Чтобы защитить свои реестры от потенциальных угроз, разрешите доступ только с частных конечных точек, общедоступных IP-адресов или диапазонов адресов. Если для реестра не настроены сетевые правила, он отобразится как неработоспособный ресурс. См. дополнительные сведения о сетевых правилах Реестра контейнеров: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network и https://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| Виртуальные машины с выходом в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины от потенциальных угроз, ограничив доступ к ним с помощью групп безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления виртуальных машин должны быть защищены с помощью JIT-управления доступом к сети | Возможный JIT-доступ к сети будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Порты управления на виртуальных машинах должны быть закрыты | Открытые порты удаленного управления создают для вашей виртуальной машины высокий уровень риска атак из Интернета. Эти атаки используют метод подбора учетных данных для получения доступа к компьютеру от имени администратора. | AuditIfNotExists, Disabled | 3.0.0 |
| Виртуальные машины без выхода в Интернет должны быть защищены с помощью групп безопасности сети | Защитите виртуальные машины без выхода в Интернет от потенциальных угроз, ограничив доступ к ним с помощью группы безопасности сети (NSG). Дополнительные сведения об управлении трафиком с помощью групп безопасности сети см. на странице https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Доступ к Базе данных SQL Azure через общедоступную сеть должен быть отключен | Отключение доступа к Базе данных SQL Azure через общедоступную сеть повышает безопасность, гарантируя, что доступ к Базе данных SQL Azure будет возможен только из частной конечной точки. Эта конфигурация запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адресов или виртуальной сети. | Audit, Deny, Disabled | 1.1.0 |
| Для северов MariaDB должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MariaDB только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. | Audit, Deny, Disabled | 2.0.0 |
| Для северов MySQL должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для MySQL только из частной конечной точки. Эта конфигурация строго отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP или виртуальной сети. | Audit, Deny, Disabled | 2.0.0 |
| Для северов PostgreSQL должен быть отключен доступ через общедоступную сеть | Отключите доступ через общедоступную сеть, чтобы повысить уровень безопасности и разрешить доступ к Базе данных Azure для PostgreSQL только из частной конечной точки. Эта конфигурация отключает доступ из любого общедоступного адресного пространства вне диапазона IP-адресов Azure и запрещает все имена входа, соответствующие правилам брандмауэра на основе IP-адреса или виртуальной сети. | Audit, Deny, Disabled | 2.0.1 |
| Учетные записи хранения должны ограничивать доступ к сети. | Сетевой доступ к учетным записям хранения должен быть ограниченным. Настройте правила сети так, чтобы учетная запись хранения была доступна только приложениям из разрешенных сетей. Чтобы разрешить подключения от конкретных локальных клиентов и интернет-клиентов, вы можете открыть доступ для трафика из конкретных виртуальных сетей Azure или определенных диапазонов общедоступных IP-адресов. | Audit, Deny, Disabled | 1.1.1 |
| Учетные записи хранения должны ограничивать доступ к сети с помощью правил виртуальной сети | Защитите свои учетные записи хранения от потенциальных угроз с помощью правил виртуальной сети, используемых в качестве предпочтительного метода вместо фильтрации по IP-адресу. Отключение фильтрации по IP-адресу запрещает общедоступным IP-адресам доступ к учетным записям хранения. | Audit, Deny, Disabled | 1.0.1 |
| Подсети должны быть связаны с группой безопасности сети. | Защитите подсеть от потенциальных угроз, ограничив доступ к ней с помощью группы безопасности сети (NSG). Эти группы содержат перечень правил списка контроля доступа (ACL), которые разрешают или запрещают передачу сетевого трафика в подсеть. | AuditIfNotExists, Disabled | 3.0.0 |
| Для Шлюза приложений должен быть включен брандмауэр веб-приложения (WAF) | Разверните Брандмауэр веб-приложения Azure (WAF) перед общедоступными веб-приложениями для дополнительной проверки входящего трафика. Брандмауэр веб-приложения (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей, включая внедрение кода SQL, межсайтовые сценарии, а также выполнение локальных и удаленных файлов. Вы также можете ограничить доступ к веб-приложениям по странам, диапазонам IP-адресов и другим параметрам HTTP(S) с помощью настраиваемых правил. | Audit, Deny, Disabled | 2.0.0 |
Запретить удаленным устройствам одновременно устанавливать не удаленные подключения с организационными системами и взаимодействовать через некоторые другие подключения к ресурсам во внешних сетях (т. е. разделение туннелирования).
Идентификатор: NIST SP 800-171 R2 3.13.7 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Предотвращение разделения туннелирования для удаленных устройств | CMA_C1632. Предотвращение разделения туннелирования для удаленных устройств | Вручную, отключено | 1.1.0 |
Реализация механизма шифрования для предотвращения несанкционированного раскрытия контролируемой несекретной информации в процессе передачи при отсутствии альтернативных физических средств безопасности.
Идентификатор: NIST SP 800-171 R2 3.13.8 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
| Приложения Службы приложений должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, Disabled | 2.0.1 |
| Кластеры Azure HDInsight должны использовать шифрование при передаче для шифрования обмена данными между узлами кластеров Azure HDInsight | Данные могут быть изменены во время передачи между узлами кластеров Azure HDInsight. Включение шифрования при передаче устраняет проблемы несанкционированного использования и незаконного изменения данных во время передачи. | Audit, Deny, Disabled | 1.0.0 |
| Настройка рабочих станций для проверки на наличие цифровых сертификатов | CMA_0073 — Настройка рабочих станций для проверки на наличие цифровых сертификатов | Вручную, отключено | 1.1.0 |
| Для серверов баз данных MySQL должно быть включено принудительное использование SSL-соединения | База данных Azure для MySQL поддерживает подключение сервера базы данных Azure для MySQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
| Для серверов баз данных PostgreSQL должно быть включено принудительное использование SSL-соединения | База данных Azure для PostgreSQL поддерживает подключение сервера Базы данных Azure для PostgreSQL к клиентским приложениям с помощью протокола SSL (Secure Sockets Layer). Принудительное использование SSL-соединений между сервером базы данных и клиентскими приложениями помогает обеспечить защиту от атак "злоумышленник в середине" за счет шифрования потока данных между сервером и приложением. Эта конфигурация обеспечивает постоянную поддержку протокола SSL для доступа к серверу базы данных. | Audit, Disabled | 1.0.1 |
| Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
| Приложения-функции должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.0.1 |
| Кластеры Kubernetes должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает аутентификацию, а также защищает передаваемые данные от перехвата на сетевом уровне. Эта возможность в настоящее время общедоступна для службы Kubernetes (AKS) и в предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. на следующей странице: https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Использование только безопасных подключений к Кэшу Azure для Redis | Аудит активации только подключений по протоколу SSL к кэшу Azure для Redis. Использование безопасных подключений обеспечивает проверку подлинности между сервером и службой, а также защищает переносимые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 1.0.0 |
| Защита данных при передаче с помощью шифрования | CMA_0403 — Защита данных при передаче с помощью шифрования | Вручную, отключено | 1.1.0 |
| Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
| Должно выполняться безопасное перемещение в учетные записи хранения | Настройка требования выполнять аудит для безопасного переноса в учетную запись хранения. Безопасная передача данных — это параметр, при включении которого ваша учетная запись хранения принимает запросы только с безопасных подключений (HTTPS). Протокол HTTPS обеспечивает проверку подлинности между сервером и службой, а также защищает перемещаемые данные от атак сетевого уровня, таких как "злоумышленник в середине", прослушивание трафика и перехват сеанса. | Audit, Deny, Disabled | 2.0.0 |
| Компьютеры Windows должны быть настроены для использования безопасных протоколов связи | Чтобы защитить конфиденциальность информации, переданной через Интернет, компьютеры должны использовать последнюю версию стандартного криптографического протокола, tls. TLS защищает обмен данными по сети путем шифрования подключения между компьютерами. | AuditIfNotExists, Disabled | 4.1.1 |
Завершение сетевых подключений, связанных с сеансами связи в конце сеансов или после определенного периода бездействия.
Идентификатор: NIST SP 800-171 R2 3.13.9 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Повторная авторизация или завершение сеанса пользователя | CMA_0421 — повторное выполнение проверки подлинности или завершение сеанса пользователя | Вручную, отключено | 1.1.0 |
Целостность системы и данных
Своевременное выявление и исправление системных уязвимостей, а также составление отчетов о них
Идентификатор: NIST SP 800-171 R2 3.14.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить решение для оценки уязвимостей на виртуальных машинах | Осуществляет аудит виртуальных машин, чтобы определить, работает ли на них поддерживаемое решение для оценки уязвимостей. Основным компонентом каждой программы безопасности и защиты от киберрисков является идентификация и анализ уязвимостей. Ценовая категория "Стандартный" Центра безопасности Azure предоставляет возможность выполнять проверку уязвимостей виртуальных машин без дополнительных затрат. Кроме того, Центр безопасности может автоматически развернуть этот инструмент. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения Службы приложений должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection | Аудит наличия и работоспособности решения защиты конечных точек в ваших масштабируемых наборах виртуальных машин для защиты их от угроз и уязвимостей. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения-функции должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
| Включение исправления ошибок в управление конфигурацией | CMA_C1671. Включение исправления ошибок в управление конфигурацией | Вручную, отключено | 1.1.0 |
| Службы Kubernetes должны быть обновлены до версии с устраненными уязвимостями | Обновите версию службы Kubernetes своего кластера, чтобы получить защиту от известных уязвимостей текущей версии. Уязвимость CVE-2019-9946 исправлена в Kubernetes версий 1.11.9+, 1.12.7+, 1.13.5+ и 1.14.0+. | Audit, Disabled | 1.0.2 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
| Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Уязвимости, обнаруженные в базах данных SQL, должны быть устранены | Мониторинг результатов оценки уязвимостей и рекомендации по исправлению уязвимостей баз данных. | AuditIfNotExists, Disabled | 4.1.0 |
| В масштабируемых наборах виртуальных машин должны быть установлены обновления системы | Аудит отсутствия обновлений для системы безопасности и критических обновлений, которые необходимо установить для защиты ваших масштабируемых наборов виртуальных машин с Windows и Linux. | AuditIfNotExists, Disabled | 3.0.0 |
| На компьютерах должны быть установлены обновления системы | Отсутствие обновлений системы безопасности на серверах будет отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 4.0.0 |
| Уязвимости конфигурации безопасности на ваших компьютерах должны быть устранены | Серверы, не соответствующие заданным базовым показателям, будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.1.0 |
| Уязвимости в конфигурации безопасности в масштабируемом наборе виртуальных машин должны быть устранены. | Аудит наличия уязвимостей ОС в ваших масштабируемых наборах виртуальных машин для защиты их от атак. | AuditIfNotExists, Disabled | 3.0.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Обеспечение защиты от вредоносного кода в указанных расположениях в системах организации
Идентификатор: NIST SP 800-171 R2 3.14.2 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
| В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection | Аудит наличия и работоспособности решения защиты конечных точек в ваших масштабируемых наборах виртуальных машин для защиты их от угроз и уязвимостей. | AuditIfNotExists, Disabled | 3.0.0 |
| Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
| В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
| Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | Эта политика выполняет аудит всех виртуальных машин Windows Server, на которых не развернуто расширение IaaSAntimalware (Майкрософт). | AuditIfNotExists, Disabled | 1.1.0 |
| Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
| Еженедельная проверка состояния защиты от угроз | CMA_0479 — Еженедельная проверка состояния защиты от угроз | Вручную, отключено | 1.1.0 |
| Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Отслеживайте оповещения системы безопасности и рекомендации и выполняйте действия в ответ.
Идентификатор: NIST SP 800-171 R2 3.14.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Распространение оповещений системы безопасности персоналу | CMA_C1705 . Распространение оповещений системы безопасности персоналу | Вручную, отключено | 1.1.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.1.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.1.0 |
| Создание программы аналитики угроз | CMA_0260. Создание программы аналитики угроз | Вручную, отключено | 1.1.0 |
| Реализация директив безопасности | CMA_C1706. Реализация директив безопасности | Вручную, отключено | 1.1.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
| Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Обновление механизмов защиты от вредоносного кода при доступности новых выпусков.
Идентификатор: NIST SP 800-171 R2 3.14.4 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
| В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection | Аудит наличия и работоспособности решения защиты конечных точек в ваших масштабируемых наборах виртуальных машин для защиты их от угроз и уязвимостей. | AuditIfNotExists, Disabled | 3.0.0 |
| Управление шлюзами | CMA_0363 — Управление шлюзами | Вручную, отключено | 1.1.0 |
| В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
| Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | Эта политика выполняет аудит всех виртуальных машин Windows Server, на которых не развернуто расширение IaaSAntimalware (Майкрософт). | AuditIfNotExists, Disabled | 1.1.0 |
| Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
| Проверка на наличие уязвимостей | CMA_0393 — Проверка на наличие уязвимостей | Вручную, отключено | 1.1.0 |
| Еженедельная проверка отчета об обнаружении вредоносных программ | CMA_0475 — Еженедельная проверка отчета об обнаружении вредоносных программ | Вручную, отключено | 1.1.0 |
| Обновление определений антивирусной программы | CMA_0517 — Обновление определений для антивирусного ПО | Вручную, отключено | 1.1.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Периодические проверки организационных систем и проверки файлов из внешних источников в режиме реального времени выполняются при скачивании, открытии или выполнении.
Идентификатор: NIST SP 800-171 R2 3.14.5 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| В масштабируемых наборах виртуальных машин должно быть установлено решение Endpoint Protection | Аудит наличия и работоспособности решения защиты конечных точек в ваших масштабируемых наборах виртуальных машин для защиты их от угроз и уязвимостей. | AuditIfNotExists, Disabled | 3.0.0 |
| В Microsoft Antimalware для Azure должно быть настроено автоматическое обновление подписей защиты | Эта политика выполняет аудит всех виртуальных машин Windows, на которых не настроено автоматическое обновление подписей защиты Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
| Расширение Microsoft IaaSAntimalware должно быть развернуто на серверах Windows | Эта политика выполняет аудит всех виртуальных машин Windows Server, на которых не развернуто расширение IaaSAntimalware (Майкрософт). | AuditIfNotExists, Disabled | 1.1.0 |
| Мониторинг отсутствия Endpoint Protection в Центре безопасности Azure | Серверы без установленного агента Endpoint Protection будут отслеживаться центром безопасности Azure для предоставления рекомендаций. | AuditIfNotExists, Disabled | 3.0.0 |
| На компьютерах должны быть включены функции Exploit Guard в Microsoft Defender | Exploit Guard в Microsoft Defender использует агент гостевой конфигурации Политики Azure. Exploit Guard состоит из четырех компонентов, которые предназначены для блокировки устройств с целью защиты от разнообразных векторов атак и блокируют поведение, которое присуще атакам с использованием вредоносных программ, позволяя организациям сбалансировать риски, связанные с угрозами безопасности, и требования к производительности (только для Windows). | AuditIfNotExists, Disabled | 2.0.0 |
Мониторинг систем организации, в том числе входящего и исходящего трафика, для обнаружения атак и их потенциальных признаков
Идентификатор: NIST SP 800-171 R2 3.14.6 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Предварительная версия]. На виртуальных машинах Azure Arc с Linux должно быть установлено расширение Log Analytics | Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 (предварительная версия) |
| [Предварительная версия]. На виртуальных машинах Azure Arc с Windows должно быть установлено расширение Log Analytics | Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 (предварительная версия) |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| В подписке должна быть включена автоматическая подготовка агента Log Analytics | Чтобы отслеживать уязвимости и угрозы безопасности, Центр безопасности Azure собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Обнаружение сетевых служб, которые не были авторизованы или утверждены | CMA_C1700 — Обнаружение сетевых служб, которые не были авторизованы или утверждены | Вручную, отключено | 1.1.0 |
| Обнаружение любых индикаторов компрометации | CMA_C1702 . Обнаружение любых индикаторов компрометации | Вручную, отключено | 1.1.0 |
| Документирование операций по обеспечению безопасности | CMA_0202 — Документирование операций по обеспечению безопасности | Вручную, отключено | 1.1.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.1.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.1.0 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| На виртуальной машине должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Эта политика выполняет аудит всех виртуальных машин Windows и Linux, если не установлен агент Log Analytics, который Центр безопасности использует для отслеживания уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Центр безопасности собирает данные с виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
| Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
| Включение датчиков для решения безопасности конечной точки | CMA_0514 — Включение датчиков для решения безопасности конечной точки | Вручную, отключено | 1.1.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Выявление незаконного использования систем организации.
Идентификатор: NIST SP 800-171 R2 3.14.7 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. Весь интернет-трафик должен направляться через развернутый Брандмауэр Azure | В Центре безопасности Azure обнаружено, что некоторые подсети не защищены брандмауэром следующего поколения. Защитите подсети от возможных угроз, запретив доступ к этим сетям с помощью Брандмауэра Azure или поддерживаемого брандмауэра следующего поколения. | AuditIfNotExists, Disabled | 3.0.0 (предварительная версия) |
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Предварительная версия]. На виртуальных машинах Azure Arc с Linux должно быть установлено расширение Log Analytics | Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 (предварительная версия) |
| [Предварительная версия]. На виртуальных машинах Azure Arc с Windows должно быть установлено расширение Log Analytics | Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 (предварительная версия) |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| В подписке должна быть включена автоматическая подготовка агента Log Analytics | Чтобы отслеживать уязвимости и угрозы безопасности, Центр безопасности Azure собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| На виртуальной машине должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Эта политика выполняет аудит всех виртуальных машин Windows и Linux, если не установлен агент Log Analytics, который Центр безопасности использует для отслеживания уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Центр безопасности собирает данные с виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
| Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Повышение осведомленности и обучение
Убедитесь, что руководители, системные администраторы и пользователи организационных систем осведомлены о рисках безопасности, связанных с их деятельностью и применимыми политиками, стандартами и процедурами, связанными с безопасностью этих систем.
Идентификатор: NIST SP 800-171 R2 3.2.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Предоставление периодической подготовки по обеспечению осведомленности о безопасности | CMA_C1091. Предоставление периодической подготовки по повышению осведомленности о безопасности | Вручную, отключено | 1.1.0 |
| Предоставление обучения безопасности для новых пользователей | CMA_0419. Предоставление обучения безопасности для новых пользователей | Вручную, отключено | 1.1.0 |
Убедитесь, что сотрудники обучены выполнять свои назначенные обязанности и обязанности, связанные с информационной безопасностью.
Идентификатор: NIST SP 800-171 R2 3.2.2 Владение: shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Предоставление периодического обучения безопасности на основе ролей | CMA_C1095. Предоставление периодического обучения безопасности на основе ролей | Вручную, отключено | 1.1.0 |
| Предоставьте обучение безопасности перед предоставлением доступа | CMA_0418. Предоставьте обучение безопасности перед предоставлением доступа | Вручную, отключено | 1.1.0 |
Предоставьте учебный курс по обеспечению осведомленности о безопасности для распознавания и отчетности потенциальных индикаторов инсайдерской угрозы.
Идентификатор: NIST SP 800-171 R2 3.2.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация программы предварительной оценки угроз | CMA_C1751 . Реализация программы предварительной оценки угроз | Вручную, отключено | 1.1.0 |
| Предоставление обучения осведомленности о безопасности для угроз предварительной оценки | CMA_0417. Предоставление обучения осведомленности о безопасности для внутренних угроз | Вручную, отключено | 1.1.0 |
Аудит и система отчетности
Создание и хранение журналов и записей системного аудита в той степени, в которой необходимо включить мониторинг, анализ, расследование и отчеты о незаконной или несанкционированной системной деятельности
Идентификатор: NIST SP 800-171 R2 3.3.1 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Предварительная версия]. На виртуальных машинах Azure Arc с Linux должно быть установлено расширение Log Analytics | Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 (предварительная версия) |
| [Предварительная версия]. На виртуальных машинах Azure Arc с Windows должно быть установлено расширение Log Analytics | Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 (предварительная версия) |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Соблюдение заданных периодов хранения | CMA_0004 — Соблюдение заданных периодов хранения | Вручную, отключено | 1.1.0 |
| В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 2.0.1 |
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
| В подписке должна быть включена автоматическая подготовка агента Log Analytics | Чтобы отслеживать уязвимости и угрозы безопасности, Центр безопасности Azure собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Настройка возможностей аудита Azure | CMA_C1108. Настройка возможностей аудита Azure | Вручную, отключено | 1.1.1 |
| Сопоставление записей аудита | CMA_0087 — сопоставление записей аудита | Вручную, отключено | 1.1.0 |
| Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
| Создание требований для проверки аудита и создания отчетов | CMA_0277. Создание требований для проверки и отчетности аудита | Вручную, отключено | 1.1.0 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Интеграция аудита, анализа и отчетности | CMA_0339 . Интеграция проверки аудита, анализа и отчетности | Вручную, отключено | 1.1.0 |
| Интеграция облачной безопасности приложений с siem | CMA_0340. Интеграция облачной безопасности приложений с siem | Вручную, отключено | 1.1.0 |
| На виртуальной машине должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Эта политика выполняет аудит всех виртуальных машин Windows и Linux, если не установлен агент Log Analytics, который Центр безопасности использует для отслеживания уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Центр безопасности собирает данные с виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
| В Azure Data Lake Storage должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Azure Stream Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В учетных записях пакетной службы должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Data Lake Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Центре событий должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Центре Интернета вещей должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 3.1.0 |
| В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Logic Apps должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.1.0 |
| В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| Сохранение политик и процедур безопасности | CMA_0454 — Сохранение политик и процедур безопасности | Вручную, отключено | 1.1.0 |
| Сохранение данных удаленных пользователей | CMA_0455 — Сохранение данных удаленных пользователей | Вручную, отключено | 1.1.0 |
| Проверка журналов подготовки учетных записей | CMA_0460 — Проверка журналов подготовки учетных записей | Вручную, отключено | 1.1.0 |
| Еженедельная проверка назначений администраторов | CMA_0461. Просмотр назначений администраторов еженедельно | Вручную, отключено | 1.1.0 |
| Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
| Обзор отчета об идентификации облака | CMA_0468. Обзор отчета об идентификации облака | Вручную, отключено | 1.1.0 |
| Просмотр событий доступа к управляемым папкам | CMA_0471. Просмотр событий доступа к управляемым папкам | Вручную, отключено | 1.1.0 |
| Просмотр действия файлов и папок | CMA_0473 . Просмотр действия файлов и папок | Вручную, отключено | 1.1.0 |
| Еженедельная проверка изменений группы ролей | CMA_0476. Просмотр еженедельных изменений группы ролей | Вручную, отключено | 1.1.0 |
| Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. | AuditIfNotExists, Disabled | 3.0.0 |
| Расширение Log Analytics должно быть установлено в масштабируемых наборах виртуальных машин | Эта политика выполняет аудит всех масштабируемых наборов виртуальных машин Windows или Linux, в которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
| Виртуальные машины должны быть подключены к указанной рабочей области | Сообщает о несоответствии виртуальных машин, если они не ведут журнал в рабочей области Log Analytics, указанной в назначении политики или инициативы. | AuditIfNotExists, Disabled | 1.1.0 |
| На виртуальных машинах должно быть установлено расширение Log Analytics | Эта политика выполняет аудит всех виртуальных машин Windows или Linux, на которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Обеспечение возможности точно отследить отдельных пользователей, выполнивших определенные действия, для привлечения их к ответственности за их осуществление
Идентификатор: NIST SP 800-171 R2 3.3.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]. В кластерах Kubernetes с поддержкой Azure Arc должно быть установлено расширение Microsoft Defender для облака | Расширение Microsoft Defender для облака для Azure Arc обеспечивает защиту от угроз для кластеров Kubernetes с поддержкой Arc. Расширение собирает данные из всех узлов в кластере и отправляет их в серверную часть Azure Defender для Kubernetes в облаке для дальнейшего анализа. Дополнительные сведения см. по адресу https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Предварительная версия]. На виртуальных машинах Azure Arc с Linux должно быть установлено расширение Log Analytics | Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 (предварительная версия) |
| [Предварительная версия]. На виртуальных машинах Azure Arc с Windows должно быть установлено расширение Log Analytics | Эта политика выполняет аудит виртуальных машин Azure Arc под управлением Windows, на которых установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 (предварительная версия) |
| [Предварительная версия]. На виртуальных машинах Linux должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Предварительная версия]. На виртуальных машинах Windows должен быть установлен агент сбора данных сетевого трафика | Центр безопасности использует Microsoft Dependency Agent для сбора данных сетевого трафика с ваших виртуальных машин Azure и реализации расширенных функций защиты, например визуализации трафика на карте сети, выдачи рекомендаций по улучшению безопасности и обработки конкретных сетевых угроз. | AuditIfNotExists, Disabled | 1.0.2-preview |
| В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 2.0.1 |
| Необходимо включить аудит на сервере SQL | Для отслеживания действий во всех базах данных на сервере и сохранения их в журнал аудита должен быть включен аудит вашего SQL Server. | AuditIfNotExists, Disabled | 2.0.0 |
| В подписке должна быть включена автоматическая подготовка агента Log Analytics | Чтобы отслеживать уязвимости и угрозы безопасности, Центр безопасности Azure собирает данные из виртуальных машин Azure. Для сбора данных используется агент Log Analytics (ранее — Microsoft Monitoring Agent, или MMA), который считывает разные конфигурации, связанные с безопасностью, и журналы событий с компьютера, а также копирует данные в рабочую область Log Analytics для анализа. Мы рекомендуем включить автоматическую подготовку для автоматического развертывания агента на всех поддерживаемых виртуальных машинах Azure, включая те, которые созданы недавно. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
| Установка требований к электронной подписи и сертификатам | CMA_0271. Создание требований к электронной подписи и сертификату | Вручную, отключено | 1.1.0 |
| На ваших компьютерах должно быть установлено расширение "Гостевая конфигурация" | Чтобы обеспечить безопасность конфигураций гостевых параметров компьютера, установите расширение "Гостевая конфигурация". К гостевым параметрам, которые отслеживает расширение, относятся конфигурация операционной системы, конфигурация или наличие приложения и настройки среды. После установки станут доступны гостевые политики, например требование включить Windows Exploit Guard. Узнайте больше по адресу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| На виртуальной машине должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Эта политика выполняет аудит всех виртуальных машин Windows и Linux, если не установлен агент Log Analytics, который Центр безопасности использует для отслеживания уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| В масштабируемых наборах виртуальных машин должен быть установлен агент Log Analytics для мониторинга Центра безопасности Azure | Центр безопасности собирает данные с виртуальных машин Azure для мониторинга уязвимостей и угроз безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Наблюдатель за сетями | Наблюдатель за сетями — это региональная служба, обеспечивающая мониторинг и диагностику условий на уровне сетевого сценария на платформе Azure. Мониторинг на уровне сценария позволяет диагностировать проблемы в сети с помощью комплексного представления сетевого уровня. В каждом регионе, где присутствует виртуальная сеть, должна быть создана группа ресурсов Наблюдателя за сетями. Оповещение включается, если группа ресурсов Наблюдателя за сетями недоступна в определенном регионе. | AuditIfNotExists, Disabled | 3.0.0 |
| В Azure Data Lake Storage должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Azure Stream Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В учетных записях пакетной службы должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Data Lake Analytics должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Центре событий должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Центре Интернета вещей должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 3.1.0 |
| В Key Vault должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для анализа инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Logic Apps должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.1.0 |
| В службах "Поиск" должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| В Служебной шине должны быть включены журналы ресурсов | Выполняйте аудит для включения журналов ресурсов. Это позволит воссоздать действия для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 5.0.0 |
| Для серверов SQL Server с аудитом в назначении учетной записи хранения следует настроить срок хранения длительностью 90 дней или более | Для исследования инцидентов мы рекомендуем задать срок хранения данных аудита SQL Server в назначении учетной записи хранения длительностью как минимум 90 дней. Убедитесь, что соблюдаются необходимые правила хранения для регионов, в которых вы работаете. Иногда это необходимо для обеспечения соответствия нормативным стандартам. | AuditIfNotExists, Disabled | 3.0.0 |
| Расширение Log Analytics должно быть установлено в масштабируемых наборах виртуальных машин | Эта политика выполняет аудит всех масштабируемых наборов виртуальных машин Windows или Linux, в которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
| Виртуальные машины должны быть подключены к указанной рабочей области | Сообщает о несоответствии виртуальных машин, если они не ведут журнал в рабочей области Log Analytics, указанной в назначении политики или инициативы. | AuditIfNotExists, Disabled | 1.1.0 |
| На виртуальных машинах должно быть установлено расширение Log Analytics | Эта политика выполняет аудит всех виртуальных машин Windows или Linux, на которых не установлено расширение Log Analytics. | AuditIfNotExists, Disabled | 1.0.1 |
| Необходимо развернуть расширение "Гостевая конфигурация" виртуальных машин с управляемым удостоверением, назначаемым системой | Для расширения гостевой конфигурации требуется управляемое удостоверение, назначаемое системой. Виртуальные машины Azure в области действия этой политики будут несоответствующими, если на них установлено расширение "Гостевая конфигурация", но отсутствует управляемое удостоверение, назначаемое системой. Дополнительные сведения см. на странице https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.1 |
Просмотр и обновление зарегистрированных событий.
Идентификатор: NIST SP 800-171 R2 3.3.3 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Просмотр и обновление событий, определенных в AU-02 | CMA_C1106. Просмотр и обновление событий, определенных в AU-02 | Вручную, отключено | 1.1.0 |
Предупреждение в случае сбоя процесса ведения журнала аудита
Идентификатор: NIST SP 800-171 R2 3.3.4 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Управление действиями по обработке данных аудита и их мониторинг | CMA_0289 — Управление действиями по обработке данных аудита и их мониторинг | Вручную, отключено | 1.1.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
| Предоставление оповещений в режиме реального времени для сбоев событий аудита | CMA_C1114. Предоставление оповещений в режиме реального времени для сбоев событий аудита | Вручную, отключено | 1.1.0 |
Сопоставляйте процессы проверки, анализа и отчетности аудита для расследования и реагирования на признаки незаконной, несанкционированной, подозрительной или необычной деятельности.
Идентификатор: NIST SP 800-171 R2 3.3.5 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Azure Defender для Службы приложений должен быть включен | Azure Defender для Службы приложений использует масштаб облака, а также видимость, характерную для Azure как поставщика облачных служб, для отслеживания распространенных атак на веб-приложения. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов Базы данных SQL Azure должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender для Key Vault должен быть включен | Azure Defender для Key Vault обеспечивает дополнительный уровень защиты в виде механизма обнаружения угроз, который позволяет выявить необычные и потенциально опасные попытки получения и использования учетных записей хранилища ключей. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для Resource Manager должен быть включен | Azure Defender для Resource Manager автоматически отслеживает операции управления ресурсами в организации. Azure Defender обнаруживает угрозы и предупреждает о подозрительных действиях. Дополнительные сведения о возможностях Azure Defender для Resource Manager: https://aka.ms/defender-for-resource-manager. Включение этого плана Azure Defender подразумевает определенные расходы. Подробно о ценах для каждого региона см. на странице цен Центра безопасности: https://aka.ms/pricing-security-center. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender для серверов SQL на компьютерах должен быть включен | Azure Defender для SQL предоставляет возможности для выявления и устранения потенциальных уязвимостей баз данных, обнаружения необычных действий, которые могут представлять угрозу в базах данных SQL, а также для определения и классификации конфиденциальных данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Для незащищенных серверов Azure SQL следует включить Azure Defender для SQL | Аудит серверов SQL без Расширенной защиты данных | AuditIfNotExists, Disabled | 2.0.1 |
| Для незащищенных управляемых экземпляров SQL следует включить Azure Defender для SQL | Проверка всех Управляемых экземпляров SQL без Расширенной защиты данных. | AuditIfNotExists, Disabled | 1.0.2 |
| Сопоставление записей аудита | CMA_0087 — сопоставление записей аудита | Вручную, отключено | 1.1.0 |
| Интеграция анализа записей аудита | CMA_C1120. Интеграция анализа записей аудита | Вручную, отключено | 1.1.0 |
| Интеграция облачной безопасности приложений с siem | CMA_0340. Интеграция облачной безопасности приложений с siem | Вручную, отключено | 1.1.0 |
| Microsoft Defender для контейнеров должен быть включен | Microsoft Defender для контейнеров обеспечивает повышение надежности, оценку уязвимостей и защиту во время выполнения для сред Azure, гибридных сред и сред Kubernetes в нескольких облаках. | AuditIfNotExists, Disabled | 1.0.0 |
| Необходимо включить Microsoft Defender для службы хранилища | Microsoft Defender для служба хранилища обнаруживает потенциальные угрозы для учетных записей хранения. Это помогает предотвратить три основных воздействия на данные и рабочую нагрузку: вредоносные отправки файлов, кражу конфиденциальных данных и повреждение данных. Новый план Defender для служба хранилища включает сканирование вредоносных программ и обнаружение угроз конфиденциальных данных. Этот план также предоставляет прогнозируемую структуру ценообразования (для каждой учетной записи хранения) для контроля над покрытием и затратами. | AuditIfNotExists, Disabled | 1.0.0 |
Предоставление сокращения записей аудита и создания отчетов для поддержки анализа и отчетности по запросу.
Идентификатор: NIST SP 800-171 R2 3.3.6 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Аудит привилегированных функций | CMA_0019 — Аудит привилегированных функций | Вручную, отключено | 1.1.0 |
| Аудит состояния учетной записи пользователя | CMA_0020 — Аудит состояния учетной записи пользователя | Вручную, отключено | 1.1.0 |
| Компиляция записей аудита в системный аудит | CMA_C1140 . Компиляция записей аудита в системный аудит | Вручную, отключено | 1.1.0 |
| Определение событий для аудита | CMA_0137 — Определение событий для аудита | Вручную, отключено | 1.1.0 |
| Предоставление возможностей аудита, анализа и создания отчетов | CMA_C1124. Предоставление возможностей аудита, анализа и создания отчетов | Вручную, отключено | 1.1.0 |
| Предоставление возможности обработки управляемых клиентом записей аудита | CMA_C1126. Предоставление возможностей для обработки управляемых клиентом записей аудита | Вручную, отключено | 1.1.0 |
| Проверка данных аудита | CMA_0466 — Проверка данных аудита | Вручную, отключено | 1.1.0 |
Предоставление системной возможности, которая сравнивает и синхронизирует внутренние системные часы с авторитетным источником для создания меток времени для записей аудита.
Идентификатор: NIST SP 800-171 R2 3.3.7 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Использование системных часов для записей аудита | CMA_0535. Использование системных часов для записей аудита | Вручную, отключено | 1.1.0 |
Защита сведений и инструментов аудита от несанкционированного доступа, изменения и удаления.
Идентификатор: NIST SP 800-171 R2 3.3.8 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Включение двойной или совместной авторизации | CMA_0226 — Включение двойной или совместной авторизации | Вручную, отключено | 1.1.0 |
| Установка политик резервного копирования и процедур | CMA_0268. Создание политик резервного копирования и процедур | Вручную, отключено | 1.1.0 |
| Поддержание целостности системы аудита | CMA_C1133 — Поддержание целостности системы аудита | Вручную, отключено | 1.1.0 |
| Защита данных аудита | CMA_0401 — Защита данных аудита | Вручную, отключено | 1.1.0 |
Ограничение управления функциями ведения журнала аудита до подмножества привилегированных пользователей.
Идентификатор: NIST SP 800-171 R2 3.3.9 Владение: Shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Защита данных аудита | CMA_0401 — Защита данных аудита | Вручную, отключено | 1.1.0 |
Управление конфигурацией
Настройка и обслуживание базовых конфигураций и инвентаризационных ресурсов систем организации (включая оборудование, программное обеспечение, встроенное ПО и документацию) на протяжении соответствующих жизненных циклов разработки системы.
Идентификатор: NIST SP 800-171 R2 3.4.1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Не рекомендуется]: приложения-функции должны иметь значение "Сертификаты клиента (Входящие сертификаты клиента)" | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов. | Audit, Disabled | 3.1.0-устаревший |
| Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
| В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | Надстройка службы "Политика Azure" для службы Kubernetes (AKS) расширяет возможности Gatekeeper версии 3, представляющего собой веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы централизованным и согласованным образом применить правила и меры безопасности для кластеров в требуемом масштабе. | Audit, Disabled | 1.0.2 |
| Настройка действий для несоответствующих устройств | CMA_0062 — Настройка действий для несоответствующих устройств | Вручную, отключено | 1.1.0 |
| Создание инвентаризации данных | CMA_0096. Создание инвентаризации данных | Вручную, отключено | 1.1.0 |
| Разработка и настройка базовых конфигураций | CMA_0153 — Разработка и настройка базовых конфигураций | Вручную, отключено | 1.1.0 |
| Принудительное применение параметров конфигурации безопасности | CMA_0249 — Принудительное применение параметров конфигурации безопасности | Вручную, отключено | 1.1.0 |
| Создание совета по контролю за конфигурацией | CMA_0254 — Создание совета по контролю за конфигурацией | Вручную, отключено | 1.1.0 |
| Определение и документирование плана управления конфигурацией | CMA_0264 — Определение и документирование плана управления конфигурацией | Вручную, отключено | 1.1.0 |
| Создание и обслуживание инвентаризации активов | CMA_0266. Создание и обслуживание инвентаризации активов | Вручную, отключено | 1.1.0 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
| Реализация средства автоматизированного управления конфигурацией | CMA_0311 — Реализация средства автоматизированного управления конфигурацией | Вручную, отключено | 1.1.0 |
| Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | Блокировка общего доступа контейнеров объектов pod к пространству имен идентификатора хост-процесса и пространству имен IPC узла в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.2 и CIS 5.2.3, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Службы кластера Kubernetes должны прослушивать только разрешенные порты | Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Кластер Kubernetes не должен разрешать привилегированные контейнеры | Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Обслуживание записей обработки персональных данных | CMA_0353 . Сохранение записей об обработке персональных данных | Вручную, отключено | 1.1.0 |
| Сохранение предыдущих версий базовых конфигураций | CMA_C1181. Сохранение предыдущих версий базовых конфигураций | Вручную, отключено | 1.1.0 |
| Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.0.0 |
Настройка и применение параметров конфигурации безопасности для продуктов информационных технологий, используемых в системах организации.
Идентификатор: NIST SP 800-171 R2 3.4.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Не рекомендуется]: приложения-функции должны иметь значение "Сертификаты клиента (Входящие сертификаты клиента)" | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимыми сертификатами. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов. | Audit, Disabled | 3.1.0-устаревший |
| Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
| В ваших кластерах должна быть установлена и включена надстройка службы "Политика Azure" для службы Kubernetes (AKS) | Надстройка службы "Политика Azure" для службы Kubernetes (AKS) расширяет возможности Gatekeeper версии 3, представляющего собой веб-перехватчик контроллера допуска для Open Policy Agent (OPA), чтобы централизованным и согласованным образом применить правила и меры безопасности для кластеров в требуемом масштабе. | Audit, Disabled | 1.0.2 |
| Принудительное применение параметров конфигурации безопасности | CMA_0249 — Принудительное применение параметров конфигурации безопасности | Вручную, отключено | 1.1.0 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
| Управление соответствием поставщиков облачных служб | CMA_0290. Управление соответствием поставщиков облачных служб | Вручную, отключено | 1.1.0 |
| Границы ресурсов ЦП и памяти для контейнеров кластера Kubernetes не должны превышать заданные | Принудительное применение границ ресурсов ЦП и памяти контейнера, чтобы предотвратить атаки методом перебора в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Контейнеры кластера Kubernetes не должны совместно использовать пространства имен идентификатора процесса узла и IPC узла | Блокировка общего доступа контейнеров объектов pod к пространству имен идентификатора хост-процесса и пространству имен IPC узла в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.2 и CIS 5.2.3, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 5.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные профили AppArmor | Контейнеры должны использовать только разрешенные профили AppArmor в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные возможности | Ограничение возможностей, чтобы сократить направления атак контейнеров в кластере Kubernetes. Эта рекомендация является частью стандартов CIS 5.2.8 и CIS 5.2.9, которые применяются для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Контейнеры в кластере Kubernetes должны использовать только разрешенные образы | Использование образов из доверенных реестров, чтобы снизить риск уязвимости кластера Kubernetes перед неизвестными угрозами, проблемами с безопасностью и вредоносными образами. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.2.0 |
| Контейнеры в кластере Kubernetes должны запускаться с корневой файловой системой, доступной только для чтения | Выполнение контейнеров с доступной только для чтения корневой файловой системой для защиты от изменений во время выполнения с добавлением вредоносных двоичных файлов в переменную PATH в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.2.0 |
| Тома hostPath объектов pod в кластере Kubernetes должны использовать только разрешенные пути к узлам | Ограничение подключений тома HostPath объектов pod к разрешенным путям к узлу в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Объекты pod и контейнеры в кластере Kubernetes должны запускаться только с утвержденными идентификаторами пользователей и групп | Управление идентификаторами пользователей, основных групп, дополнительных групп и групп файловой системы, которые объекты pod и контейнеры могут использовать для выполнения в кластере Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.1 |
| Объекты pod в кластере Kubernetes должны использовать только утвержденные сеть узла и диапазон портов | Ограничивает доступ pod к сети узла и допустимому диапазону портов узла в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.4, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 6.1.0 |
| Службы кластера Kubernetes должны прослушивать только разрешенные порты | Ограничение служб на ожидание передачи данных только через разрешенные порты для безопасного доступа к кластеру Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 8.1.0 |
| Кластер Kubernetes не должен разрешать привилегированные контейнеры | Запрет на создание привилегированных контейнеров в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.1, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 9.1.0 |
| Кластеры Kubernetes не должны разрешать повышение привилегий контейнеров | Запрет выполнения контейнеров с повышением привилегий до корня в кластере Kubernetes. Эта рекомендация является частью стандарта CIS 5.2.5, который применяется для повышения уровня безопасности сред Kubernetes. Эта политика общедоступна для службы Kubernetes (AKS) и предварительной версии для Kubernetes с поддержкой Azure Arc. Дополнительные сведения см. в разделе https://aka.ms/kubepolicydoc. | audit, Audit, deny, Deny, disabled, Disabled | 7.1.0 |
| Компьютеры с Linux должны соответствовать требованиям к базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| Устранение недостатков информационной системы | CMA_0427 — Устранение недостатков информационной системы | Вручную, отключено | 1.1.0 |
| Просмотр и настройка системных диагностических данных | CMA_0544. Просмотр и настройка системных диагностических данных | Вручную, отключено | 1.1.0 |
| Компьютеры Windows должны соответствовать требованиям базовой конфигурации безопасности Вычислений Azure | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если они настроены неправильно в соответствии с одной из рекомендаций в базовой конфигурации безопасности Вычислений Azure. | AuditIfNotExists, Disabled | 2.0.0 |
Отслеживание, проверка, утверждение или отклонение, а также регистрация изменений в системах организации.
Идентификатор: NIST SP 800-171 R2 3.4.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение представителя информационной безопасности для управления изменениями | CMA_C1198. Назначение представителя информационной безопасности для управления изменениями | Вручную, отключено | 1.1.0 |
| Автоматизация запроса на утверждение предлагаемых изменений | CMA_C1192. Автоматизация запроса на утверждение предлагаемых изменений | Вручную, отключено | 1.1.0 |
| Автоматизация реализации утвержденных уведомлений об изменениях | CMA_C1196. Автоматизация реализации утвержденных уведомлений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для документирования реализованных изменений | CMA_C1195. Автоматизация процесса для документирования реализованных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация процесса для выделения неосмотренных предложений об изменениях | CMA_C1193 . Автоматизация процесса для выделения неразознаованных предложений об изменениях | Вручную, отключено | 1.1.0 |
| Автоматизация процесса запрета реализации неутвержденных изменений | CMA_C1194. Автоматизация процесса запрета реализации неутвержденных изменений | Вручную, отключено | 1.1.0 |
| Автоматизация предлагаемых документированных изменений | CMA_C1191. Автоматизация предлагаемых документированных изменений | Вручную, отключено | 1.1.0 |
| Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
| Разработка и обслуживание стандарта управление уязвимостями | CMA_0152 . Разработка и обслуживание стандарта управление уязвимостями | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
Анализ влияния на безопасность изменений до реализации.
Идентификатор: NIST SP 800-171 R2 3.4.4 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Проведение анализа влияния на безопасность | CMA_0057. Проведение анализа влияния на безопасность | Вручную, отключено | 1.1.0 |
| Разработка и обслуживание стандарта управление уязвимостями | CMA_0152 . Разработка и обслуживание стандарта управление уязвимостями | Вручную, отключено | 1.1.0 |
| Создание стратегии управления рисками | CMA_0258. Создание стратегии управления рисками | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Установка требований к управлению конфигурацией для разработчиков | CMA_0270. Установка требований к управлению конфигурацией для разработчиков | Вручную, отключено | 1.1.0 |
| Оценка влияния на конфиденциальность | CMA_0387. Выполнение оценки влияния на конфиденциальность | Вручную, отключено | 1.1.0 |
| Выполнение оценки рисков | CMA_0388. Выполнение оценки рисков | Вручную, отключено | 1.1.0 |
| Выполнение аудита для элемента управления изменениями конфигурации | CMA_0390. Выполнение аудита для управления изменениями конфигурации | Вручную, отключено | 1.1.0 |
Определение, утверждение и применение ограничений физического и логического доступа, связанных с изменениями в организационных системах.
Идентификатор: NIST SP 800-171 R2 3.4.5 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Принудительное применение и аудит ограничений доступа | CMA_C1203. Принудительное применение и аудит ограничений доступа | Вручную, отключено | 1.1.0 |
| Внедрение и документирование процессов управления изменениями | CMA_0265 — Внедрение и документирование процессов управления изменениями | Вручную, отключено | 1.1.0 |
| Ограничение привилегий для внесения изменений в рабочую среду | CMA_C1206. Ограничение прав на внесение изменений в рабочую среду | Вручную, отключено | 1.1.0 |
| Ограничение несанкционированной установки программного обеспечения и встроенного ПО | CMA_C1205. Ограничение несанкционированной установки программного обеспечения и встроенного ПО | Вручную, отключено | 1.1.0 |
| Проверка и повторное вычисление привилегий | CMA_C1207. Проверка и повторное вычисление привилегий | Вручную, отключено | 1.1.0 |
| Проверка изменений для любых несанкционированных изменений | CMA_C1204. Просмотр изменений для любых несанкционированных изменений | Вручную, отключено | 1.1.0 |
Применение принципа минимальной функциональности путем настройки систем организации для предоставления только основных возможностей.
Идентификатор: NIST SP 800-171 R2 3.4.6 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями | Отслеживайте изменения в поведении групп компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Центра безопасности Azure. Центр безопасности использует машинное обучение, чтобы анализировать запущенные на компьютерах процессы и предложить список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. | AuditIfNotExists, Disabled | 3.0.0 |
| Azure Defender для серверов должен быть включен | Azure Defender для серверов обеспечивает защиту рабочих нагрузок сервера в реальном времени и создает рекомендации по улучшению безопасности, а также оповещения о подозрительных действиях. | AuditIfNotExists, Disabled | 1.0.3 |
Ограничение, отключение или предотвращение использования ненужных программ, функций, портов, протоколов и служб.
Идентификатор: NIST SP 800-171 R2 3.4.7 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями | Отслеживайте изменения в поведении групп компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Центра безопасности Azure. Центр безопасности использует машинное обучение, чтобы анализировать запущенные на компьютерах процессы и предложить список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. | AuditIfNotExists, Disabled | 3.0.0 |
Применение политики запрета методом исключения (в виде списка запретов) для предотвращения использования неавторизованного программного обеспечения или политики запрета всех, кроме разрешенных (в виде списка разрешений), для разрешения выполнения авторизованного программного обеспечения
Идентификатор: NIST SP 800-171 R2 3.4.8 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями | Отслеживайте изменения в поведении групп компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Центра безопасности Azure. Центр безопасности использует машинное обучение, чтобы анализировать запущенные на компьютерах процессы и предложить список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. | AuditIfNotExists, Disabled | 3.0.0 |
Мониторинг установленного пользователем программного обеспечения и управление им
Идентификатор: NIST SP 800-171 R2 3.4.9 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| На компьютерах должны быть включены адаптивные элементы управления приложениями для определения безопасных приложений | Включите элементы управления приложениями, чтобы определить список проверенных безопасных приложений, выполняющихся на ваших компьютерах, и настроить получение оповещений о запуске других приложений. Это поможет защитить компьютеры от вредоносных программ. Чтобы упростить процесс настройки и обслуживания правил, Центр безопасности использует машинное обучение для анализа приложений, выполняющихся на каждом компьютере, и предлагает список проверенных безопасных приложений. | AuditIfNotExists, Disabled | 3.0.0 |
| Требуется обновление правил списка разрешений в политике адаптивных элементов управления приложениями | Отслеживайте изменения в поведении групп компьютеров, настроенных для аудита с помощью адаптивных элементов управления приложениями Центра безопасности Azure. Центр безопасности использует машинное обучение, чтобы анализировать запущенные на компьютерах процессы и предложить список известных безопасных приложений. Эти приложения рекомендуется разрешать в политиках адаптивных элементов управления приложениями. | AuditIfNotExists, Disabled | 3.0.0 |
Идентификация и аутентификация
Выявление системных пользователей, процессов, выполняющихся от имени пользователей, и устройств
Идентификатор: NIST SP 800-171 R2 3.5.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Назначение системных идентификаторов | CMA_0018. Назначение системных идентификаторов | Вручную, отключено | 1.1.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
| Принудительное обеспечение уникальности пользователей | CMA_0250 — Принудительное обеспечение уникальности пользователей | Вручную, отключено | 1.1.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Требовать использование отдельных аутентификаторов | CMA_C1305. Требуется использование отдельных аутентификаторов | Вручную, отключено | 1.1.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
| Поддержка личных учетных данных для проверки, выданных юридическими органами | CMA_0507 — Поддержка личных учетных данных для проверки, выданных юридическими органами | Вручную, отключено | 1.1.0 |
Хранение и передача только криптографически защищенных паролей
Идентификатор: NIST SP 800-171 R2 3.5.10 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. | AuditIfNotExists, Disabled | 3.1.0 |
| Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. | AuditIfNotExists, Disabled | 2.0.0 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Обеспечение защиты авторизованных пользователей предоставленных аутентификаторов | CMA_C1339. Обеспечение защиты авторизованных пользователей предоставленных аутентификаторов | Вручную, отключено | 1.1.0 |
| Защита паролей с помощью шифрования | CMA_0408 — Защита паролей с помощью шифрования | Вручную, отключено | 1.1.0 |
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — Сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, LDAP-клиента и NTLM SSP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Неясные отзывы о сведениях о проверке подлинности
Идентификатор: NIST SP 800-171 R2 3.5.11 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Неясные сведения о обратной связи во время проверки подлинности | CMA_C1344 — неузнаемые сведения о обратной связи во время проверки подлинности | Вручную, отключено | 1.1.0 |
Проверка подлинности удостоверений (или самих) пользователей, процессов или устройств в качестве обязательного требования для предоставления доступа к системам организации.
Идентификатор: NIST SP 800-171 R2 3.5.2 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Аудит компьютеров Linux без заданных разрешений 0644 для файла passwd | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Linux на них не заданы разрешения 0644 для файла passwd. | AuditIfNotExists, Disabled | 3.1.0 |
| Аудит компьютеров Windows, которые не хранят пароли с использованием обратимого шифрования | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры считаются несоответствующими, если при установленной ОС Windows они не хранят пароли с использованием обратимого шифрования. | AuditIfNotExists, Disabled | 2.0.0 |
| При аутентификации на компьютерах Linux должны использоваться ключи SSH | Хотя протокол SSH и обеспечивает зашифрованное подключение, при использовании паролей с SSH виртуальные машины все равно не защищены от атак методом подбора. Наиболее безопасный вариант аутентификации на виртуальной машине Azure Linux по протоколу SSH — это пара открытого и закрытого ключей, также называемая ключами SSH. Дополнительные сведения см. на странице https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
| Сертификаты должны иметь указанный максимальный срок действия | Вы можете управлять требованиями к обеспечению соответствия для своей организации, указав максимальный период времени, в течение которого сертификат может быть действителен в пределах хранилища ключей. | audit, Audit, deny, Deny, disabled, Disabled | 2.2.1 |
| Развертывание расширения гостевой конфигурации Linux для включения назначений гостевой конфигурации на виртуальных машинах Linux | Эта политика развертывает расширение гостевой конфигурации Linux на виртуальные машины Linux, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Linux — это необходимое условие для всех назначений гостевой конфигурации Linux. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Linux. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Установка типов и процессов аутентификатора | CMA_0267. Установка типов и процессов аутентификатора | Вручную, отключено | 1.1.0 |
| Создание процедур для первоначального распространения аутентификатора | CMA_0276. Создание процедур для начального распространения аутентификатора | Вручную, отключено | 1.1.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Для ключей Key Vault должна быть задана дата окончания срока действия | Для криптографических ключей должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если ключи, действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для криптографических ключей рекомендуется устанавливать даты истечения срока действия. | Audit, Deny, Disabled | 1.0.2 |
| Для секретов Key Vault должна быть задана дата окончания срока действия | Для секретов должна быть задана дата окончания срока действия. Они не должны быть постоянными. Если секреты действительны всегда, у потенциального злоумышленника появляется дополнительное время для их взлома. В целях безопасности для секретов рекомендуется устанавливать даты истечения срока действия. | Audit, Deny, Disabled | 1.0.2 |
| Управление временем существования и повторное использование средства проверки подлинности | CMA_0355. Управление временем существования и повторное использование средства проверки подлинности | Вручную, отключено | 1.1.0 |
| Управление аутентификаторами | CMA_C1321 — управление аутентификаторами | Вручную, отключено | 1.1.0 |
| Обновление аутентификаторов | CMA_0425 . Обновление аутентификаторов | Вручную, отключено | 1.1.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
| Проверка удостоверения перед распространением аутентификаторов | CMA_0538. Проверка удостоверения перед распространением аутентификаторов | Вручную, отключено | 1.1.0 |
Использование многофакторной проверки подлинности для локального и сетевого доступа к привилегированным учетным записям и для сетевого доступа к не привилегированным учетным записям
Идентификатор: NIST SP 800-171 R2 3.5.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Учетные записи с разрешениями владельца для ресурсов Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями владельца, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на чтение ресурсов Azure должны быть включены MFA | Следует включить многофакторную проверку подлинности (MFA) для всех учетных записей подписки с разрешениями на чтение, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Учетные записи с разрешениями на запись в ресурсах Azure должны быть включены MFA | Следует включить MFA для всех учетных записей подписки с разрешениями на запись, чтобы предотвратить нарушение безопасности учетных записей или ресурсов. | AuditIfNotExists, Disabled | 1.0.0 |
| Внедрение механизмов биометрической проверки подлинности | CMA_0005 — Внедрение механизмов биометрической проверки подлинности | Вручную, отключено | 1.1.0 |
| Идентификация и аутентификация сетевых устройств | CMA_0296 — Идентификация и аутентификация сетевых устройств | Вручную, отключено | 1.1.0 |
Используйте механизмы проверки подлинности, устойчивые к воспроизведениям, для доступа к привилегированным и не привилегированным учетным записям.
Идентификатор: NIST SP 800-171 R2 3.5.4 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Компьютеры под управлением Windows должны соответствовать требованиям для категории "Параметры безопасности — Сетевая безопасность" | На компьютерах с Windows должны быть заданы параметры групповой политики в категории "Параметры безопасности — Сетевая безопасность" для включения поведения локальной системы, PKU2U, LAN Manager, LDAP-клиента и NTLM SSP. Эта политика требует развертывания необходимых компонентов гостевой конфигурации в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Запретить повторное использование идентификаторов в течение определенного периода.
Идентификатор: NIST SP 800-171 R2 3.5.5 Владения: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Запрет повторного использования идентификатора для определенного периода времени | CMA_C1314. Запрет повторного использования идентификатора для определенного периода времени | Вручную, отключено | 1.1.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Отключите идентификаторы после определенного периода бездействия.
Идентификатор: NIST SP 800-171 R2 3.5.6 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для серверов SQL должен быть подготовлен администратор Azure Active Directory | Аудит подготовки администратора AAD для включения в SQL Server поддержки проверки подлинности AAD. Эта проверка подлинности упрощает контроль разрешений и обеспечивает централизованное управление удостоверениями пользователей баз данных и других служб Майкрософт. | AuditIfNotExists, Disabled | 1.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Ресурсы Служб искусственного интеллекта Azure должны иметь отключен доступ к ключу (отключить локальную проверку подлинности) | Для обеспечения безопасности рекомендуется отключить доступ к ключам (локальная проверка подлинности). Azure OpenAI Studio, обычно используемый в разработке и тестировании, требует доступа к ключам и не будет функционировать, если доступ к ключу отключен. После отключения идентификатор Microsoft Entra становится единственным методом доступа, который позволяет поддерживать минимальный принцип привилегий и детализированный контроль. См. дополнительные сведения: https://aka.ms/AI/auth. | Audit, Deny, Disabled | 1.1.0 |
| Заблокированные учетные записи с разрешениями на чтение и запись в ресурсах Azure должны быть удалены | Устаревшие учетные записи должны быть удалены из подписок. Устаревшими считаются те учетные записи, для которых заблокирована возможность входа. | AuditIfNotExists, Disabled | 1.0.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Кластеры Service Fabric должны использовать только Azure Active Directory для проверки подлинности клиента | Аудит проверки подлинности клиента только через Azure Active Directory в Service Fabric | Audit, Deny, Disabled | 1.1.0 |
Соблюдение минимальных требований к сложности пароля и изменению символов при создании паролей.
Идентификатор: NIST SP 800-171 R2 3.5.7 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Аудит компьютеров Windows без включенного параметра сложности пароля | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры Windows считаются несоответствующими, если на них не установлен параметр сложности пароля. | AuditIfNotExists, Disabled | 2.0.0 |
| Аудит компьютеров Windows, которые не ограничивают минимальную длину пароля указанным числом символов | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые не ограничивают минимальную длину пароля указанным количеством символов. Значение по умолчанию для минимальной длины пароля — 14 символов | AuditIfNotExists, Disabled | 2.1.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Документируйте требования к надежности безопасности в контрактах на приобретение | CMA_0203 . Требования к обеспечению безопасности документов в контрактах на приобретение | Вручную, отключено | 1.1.0 |
| Установка политики паролей | CMA_0256. Установка политики паролей | Вручную, отключено | 1.1.0 |
| Реализация параметров для запоминающихся проверяющих секретов | CMA_0321. Реализация параметров для запоминаемых проверяющих секретов | Вручную, отключено | 1.1.0 |
Запрет на повторное использование пароля в указанном числе поколений
Идентификатор: NIST SP 800-171 R2 3.5.8 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах без удостоверений | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией, но не имеют ни одного управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Добавление управляемого удостоверения, назначаемого системой, для включения назначений гостевой конфигурации на виртуальных машинах с удостоверением, назначаемым пользователем | Эта политика добавляет назначаемое системой управляемое удостоверение на виртуальные машины, размещенные в Azure, которые поддерживаются гостевой конфигурацией и имеют по меньшей мере одно назначаемое пользователем удостоверение, но не имеют назначаемого системой управляемого удостоверения. Назначаемое системой управляемое удостоверение является необходимым условием для всех назначений гостевой конфигурации, и его следует добавить на компьютеры перед тем, как использовать любые определения политик гостевой конфигурации. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | modify | 4.1.0 |
| Аудит компьютеров Windows, которые позволяют повторно использовать пароли после указанного количества уникальных паролей | Требует развертывания необходимых компонентов в области назначения политики. Для получения подробных сведений посетите веб-страницу https://aka.ms/gcpol. Компьютеры не соответствуют требованиям, если компьютеры Windows, которые позволяют повторно использовать пароли после указанного числа уникальных паролей. Значение по умолчанию для уникальных паролей — 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Развертывание расширения гостевой конфигурации Windows для включения назначений гостевой конфигурации на виртуальных машинах Windows | Эта политика развертывает расширение гостевой конфигурации Windows на виртуальные машины Windows, размещенные в Azure и поддерживаемые гостевой конфигурацией. Расширение гостевой конфигурации Windows — это необходимое условие для всех назначений гостевой конфигурации Windows. Оно должно быть развернуто на компьютерах перед использованием любых определений политики гостевой конфигурации Windows. Дополнительные сведения о гостевой конфигурации см. на странице https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
Реагирование на инциденты
Создание в организации возможности обработки инцидентов для систем организации, включая действия по подготовке, обнаружению, анализу, изоляции, восстановлению и реагированию пользователей.
Идентификатор: NIST SP 800-171 R2 3.6.1 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Координация планов на непредвиденные случаи с соответствующими планами | CMA_0086 — координация планов на непредвиденные случаи с соответствующими планами | Вручную, отключено | 1.1.0 |
| Координация с внешними организациями для достижения кросс-организационной перспективы | CMA_C1368 . Координация с внешними организациями для достижения межорганиционной перспективы | Вручную, отключено | 1.1.0 |
| Разработка плана реагирования на инциденты | CMA_0145 — Разработка плана реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Разработка гарантий безопасности | CMA_0161. Разработка гарантий безопасности | Вручную, отключено | 1.1.0 |
| Документирование операций по обеспечению безопасности | CMA_0202 — Документирование операций по обеспечению безопасности | Вручную, отключено | 1.1.0 |
| Включение защиты сети | CMA_0238. Включение защиты сети | Вручную, отключено | 1.1.0 |
| Искоренение загрязненной информации | CMA_0253 . Искоренение загрязненной информации | Вручную, отключено | 1.1.0 |
| Выполнение действий в ответ на утечки информации | CMA_0281. Выполнение действий в ответ на утечки информации | Вручную, отключено | 1.1.0 |
| Реализация обработки инцидентов | CMA_0318. Реализация обработки инцидентов | Вручную, отключено | 1.1.0 |
| Выполнение анализа тенденций угроз | CMA_0389 — Выполнение анализа тенденций угроз | Вручную, отключено | 1.1.0 |
| Предоставление обучения утечки информации | CMA_0413. Предоставление обучения утечки информации | Вручную, отключено | 1.1.0 |
| Просмотр и исследование ограниченных пользователей | CMA_0545 . Просмотр и исследование ограниченных пользователей | Вручную, отключено | 1.1.0 |
Отслеживайте, документируйте инциденты и сообщать об инцидентах с назначенными должностными лицами и /или властями как внутренними, так и внешними для организации.
Идентификатор: NIST SP 800-171 R2 3.6.2 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Для оповещений высокого уровня серьезности нужно включить уведомление по электронной почте | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 1.1.0 |
| Для оповещений высокого уровня серьезности нужно включить уведомление владельца подписки по электронной почте | Чтобы настроить информирование владельцев подписки при возникновении потенциального нарушения безопасности в подписке, включите для владельцев подписок уведомления по электронной почте для отправки оповещений с высоким уровнем серьезности в Центре безопасности. | AuditIfNotExists, Disabled | 2.1.0 |
| Подписки должны содержать адрес электронной почты контактного лица по вопросам безопасности | Чтобы настроить отправку уведомлений соответствующим специалистам о потенциальных нарушениях безопасности в одной из подписок в организации, включите для контактного лица по вопросам безопасности отправку уведомлений по электронной почте в Центре безопасности. | AuditIfNotExists, Disabled | 1.0.1 |
Проверьте возможности реагирования на инциденты организации.
Идентификатор: NIST SP 800-171 R2 3.6.3 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Проведение тестирования реагирования на инциденты | CMA_0060. Проведение тестирования реагирования на инциденты | Вручную, отключено | 1.1.0 |
| Установка программы информационной безопасности | CMA_0263. Создание программы информационной безопасности | Вручную, отключено | 1.1.0 |
| Запуск атак имитации | CMA_0486. Выполнение атак имитации | Вручную, отключено | 1.1.0 |
Обслуживание
Выполнение обслуживания в организационных системах. [26].
Идентификатор: NIST SP 800-171 R2 3.7.1 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление действиями по обслуживанию и ремонту | CMA_0080 — управление работой по обслуживанию и ремонту | Вручную, отключено | 1.1.0 |
Предоставьте элементы управления средствами, методами, механизмами и персоналом, используемыми для проведения обслуживания системы.
Идентификатор: NIST SP 800-171 R2 3.7.2 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление действиями по обслуживанию и ремонту | CMA_0080 — управление работой по обслуживанию и ремонту | Вручную, отключено | 1.1.0 |
| Использование механизма очистки мультимедиа | CMA_0208 . Использование механизма очистки мультимедиа | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Управление нелокальным обслуживанием и диагностическими действиями | CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями | Вручную, отключено | 1.1.0 |
Убедитесь, что оборудование удалено для обслуживания вне сайта, санируется любой CUI.
Идентификатор: NIST SP 800-171 R2 3.7.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Использование механизма очистки мультимедиа | CMA_0208 . Использование механизма очистки мультимедиа | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Управление нелокальным обслуживанием и диагностическими действиями | CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями | Вручную, отключено | 1.1.0 |
Проверьте носители, содержащие диагностические и тестовые программы для вредоносного кода, прежде чем носитель используется в организационных системах.
Идентификатор: NIST SP 800-171 R2 3.7.4 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление действиями по обслуживанию и ремонту | CMA_0080 — управление работой по обслуживанию и ремонту | Вручную, отключено | 1.1.0 |
| Управление нелокальным обслуживанием и диагностическими действиями | CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями | Вручную, отключено | 1.1.0 |
Требуется многофакторная проверка подлинности для установления сеансов нелокального обслуживания через подключения внешней сети и завершения таких подключений при завершении нелокального обслуживания.
Идентификатор: NIST SP 800-171 R2 3.7.5 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Управление нелокальным обслуживанием и диагностическими действиями | CMA_0364. Управление нелокальным обслуживанием и диагностическими действиями | Вручную, отключено | 1.1.0 |
Контролируйте действия по обслуживанию персонала обслуживания без обязательной авторизации доступа.
Идентификатор: NIST SP 800-171 R2 3.7.6 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Назначение персонала для надзора за несанкционированным обслуживанием | CMA_C1422 . Назначение персонала для надзора за несанкционированным обслуживанием | Вручную, отключено | 1.1.0 |
| Список авторизованных сотрудников удаленного обслуживания | CMA_C1420 — список авторизованных сотрудников удаленного обслуживания | Вручную, отключено | 1.1.0 |
| Управление персоналом по обслуживанию | CMA_C1421 — управление персоналом по обслуживанию | Вручную, отключено | 1.1.0 |
Защита данных на носителях
Защита системных носителей (т. е. физического управления и безопасного хранения), содержащих CUI, как бумажных, так и цифровых.
Идентификатор: NIST SP 800-171 R2 3.8.1 Владение: shared
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Использование механизма очистки мультимедиа | CMA_0208 . Использование механизма очистки мультимедиа | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Ограничение доступа к CUI на системном носителе авторизованным пользователям
Идентификатор: NIST SP 800-171 R2 3.8.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Использование механизма очистки мультимедиа | CMA_0208 . Использование механизма очистки мультимедиа | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Санируйте или уничтожайте системные носители, содержащие CUI перед удалением или выпуском для повторного использования.
Идентификатор: NIST SP 800-171 R2 3.8.3 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Использование механизма очистки мультимедиа | CMA_0208 . Использование механизма очистки мультимедиа | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Пометьте носитель необходимыми ограничениями CUI и маркировкой. [27]
Идентификатор: NIST SP 800-171 R2 3.8.4 Ответственность: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
Контроль доступа к средствам массовой информации, содержащим CUI, и поддержание ответственности за средства массовой информации во время транспорта за пределами контролируемых областей.
Идентификатор: NIST SP 800-171 R2 3.8.5 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Управление транспортировкой ресурсов | CMA_0370 . Управление транспортировкой активов | Вручную, отключено | 1.1.0 |
Реализуйте механизмы шифрования для защиты конфиденциальности CUI, хранящихся на цифровых носителях во время транспорта, если иное не защищено альтернативными физическими средствами защиты.
Идентификатор: NIST SP 800-171 R2 3.8.6 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Управление транспортировкой ресурсов | CMA_0370 . Управление транспортировкой активов | Вручную, отключено | 1.1.0 |
Управление использованием съемных носителей на системных компонентах.
Идентификатор: NIST SP 800-171 R2 3.8.7 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
| Управление использованием переносимых устройств хранения | CMA_0083 . Управление использованием переносимых устройств хранения | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Ограничение использования мультимедиа | CMA_0450. Ограничение использования носителей | Вручную, отключено | 1.1.0 |
Запретить использование переносимых устройств хранения, если такие устройства не имеют идентифицируемых владельцев.
Идентификатор: NIST SP 800-171 R2 3.8.8 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Блокировать ненадежные и неподписанные процессы, выполняемые из USB | CMA_0050 — Блокировка выполнения ненадежных и неподписанных процессов с USB | Вручную, отключено | 1.1.0 |
| Управление использованием переносимых устройств хранения | CMA_0083 . Управление использованием переносимых устройств хранения | Вручную, отключено | 1.1.0 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| Ограничение использования мультимедиа | CMA_0450. Ограничение использования носителей | Вручную, отключено | 1.1.0 |
Защита конфиденциальности CUI резервного копирования в местах хранения.
Идентификатор: NIST SP 800-171 R2 3.8.9 Владение: Общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Необходимо включить Azure Backup для Виртуальных машин | Обеспечьте защиту виртуальных машин Azure, включив Azure Backup — Azure Backup — это безопасное и экономичное решение для защиты данных в Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Установка политик резервного копирования и процедур | CMA_0268. Создание политик резервного копирования и процедур | Вручную, отключено | 1.1.0 |
| База данных Azure для MariaDB должна использовать геоизбыточное резервное копирование | База данных Azure для MariaDB позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| База данных Azure для MySQL должна использовать геоизбыточное резервное копирование | База данных Azure для MySQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| База данных Azure для PostgreSQL должна использовать геоизбыточное резервное копирование | База данных Azure для PostgreSQL позволяет выбрать вариант избыточности для сервера базы данных. Можно задать геоизбыточное хранилище резервных копий, в котором данные хранятся не только в том регионе, в котором размещен сервер, — они также реплицированы в парный регион для обеспечения восстановления в случае сбоя в регионе. Геоизбыточное хранилище резервных копий можно настроить только на этапе создания сервера. | Audit, Disabled | 1.0.1 |
| Реализация элементов управления для защиты всех носителей | CMA_0314 — Реализация элементов управления для защиты всех носителей | Вручную, отключено | 1.1.0 |
| В хранилищах ключей должна быть включена защита от удаления | Удаление хранилища ключей злоумышленником может привести к необратимой потере данных. Вы можете предотвратить постоянную потерю данных, включив защиту очистки и обратимое удаление. Защита от очистки позволяет оградить вас от атак злоумышленников. Для этого применяется обязательный период хранения данных для хранилищ ключей, которые были обратимо удалены. Ни корпорация Майкрософт, ни пользователи вашей организации не смогут очистить хранилища ключей во время периода хранения при обратимом удалении. Помните, что хранилища ключей, созданные после 1 сентября 2019 г., по умолчанию включают обратимое удаление. | Audit, Deny, Disabled | 2.1.0 |
| В хранилищах ключей должно быть включено обратимое удаление | Если при удалении хранилища ключей отключено обратимое удаление, все секреты, ключи и сертификаты в этом хранилище ключей удалятся без возможности восстановления. Случайное удаление хранилища ключей может привести к необратимой потере данных. Функция обратимого удаления позволяет восстановить случайно удаленное хранилище ключей с настраиваемым периодом хранения. | Audit, Deny, Disabled | 3.0.0 |
Безопасность персонала
Перед авторизацией доступа к организационным системам, содержащим CUI, экранировать пользователей.
Идентификатор: NIST SP 800-171 R2 3.9.1 Владение: общее
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Очистка персонала с доступом к секретной информации | CMA_0054 . Очистка персонала с доступом к секретной информации | Вручную, отключено | 1.1.0 |
| Реализация проверки персонала | CMA_0322 . Реализация скрининга персонала | Вручную, отключено | 1.1.0 |
Убедитесь, что организационные системы, содержащие CUI, защищены во время и после действий персонала, таких как прекращение и передача
Идентификатор: NIST SP 800-171 R2 3.9.2 Владение: общий доступ
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| Проведение собеседования на выходе после завершения | CMA_0058 — проведение собеседования о выходе после завершения | Вручную, отключено | 1.1.0 |
| Отключение структур проверки подлинности при удалении | CMA_0169 — Отключение структур проверки подлинности при удалении | Вручную, отключено | 1.1.0 |
| Инициирование действий по передаче или переназначения | CMA_0333. Инициирование действий по передаче или переназначения | Вручную, отключено | 1.1.0 |
| Изменение авторизации доступа при передаче персонала | CMA_0374. Изменение авторизации доступа при передаче персонала | Вручную, отключено | 1.1.0 |
| Уведомление о завершении или передаче | CMA_0381 — уведомление о завершении или передаче | Вручную, отключено | 1.1.0 |
| Защита от кражи данных и предотвращение кражи данных от сотрудников | CMA_0398 . Защита от кражи данных и предотвращение кражи данных от сотрудников | Вручную, отключено | 1.1.0 |
| Повторное вычисление доступа при передаче персонала | CMA_0424 — повторное вычисление доступа при передаче персонала | Вручную, отключено | 1.1.0 |
Следующие шаги
Дополнительные статьи о Политике Azure:
- Обзор соответствия нормативным требованиям.
- См. структуру определения инициативы.
- См. другие примеры шаблонов для Политики Azure.
- Изучите сведения о действии политик.
- Узнайте, как исправлять несоответствующие ресурсы.