Kontroll mappning för ISO 27001-skiss exemplet för delade tjänsterControl mapping of the ISO 27001 Shared Services blueprint sample

Följande artikel beskriver hur Azure-ritningar ISO 27001 Shared Services skiss-exemplet mappar till ISO 27001-kontrollerna.The following article details how the Azure Blueprints ISO 27001 Shared Services blueprint sample maps to the ISO 27001 controls. Mer information om kontrollerna finns i ISO 27001.For more information about the controls, see ISO 27001.

Följande mappningar är till ISO 27001:2013 -kontrollerna.The following mappings are to the ISO 27001:2013 controls. Använd navigeringen till höger om du vill gå direkt till en bestämd kontroll mappning.Use the navigation on the right to jump directly to a specific control mapping. Många av de mappade kontrollerna implementeras med ett Azure policy initiativ.Many of the mapped controls are implemented with an Azure Policy initiative. Om du vill granska hela initiativet öppnar du princip i Azure Portal och väljer sidan definitioner .To review the complete initiative, open Policy in the Azure portal and select the Definitions page. Leta sedan reda på och välj gransknings [ visa ] ISO 27001:2013-kontroller och distribuera särskilda VM-tillägg för att ge stöd för det inbyggda princip initiativet för gransknings krav .Then, find and select the [Preview] Audit ISO 27001:2013 controls and deploy specific VM Extensions to support audit requirements built-in policy initiative.

Viktigt

Varje kontroll nedan är kopplad till en eller flera Azure policy -definitioner.Each control below is associated with one or more Azure Policy definitions. Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen. Det finns dock ofta ingen en-till-en-eller fullständig matchning mellan en kontroll och en eller flera principer.These policies may help you assess compliance with the control; however, there often is not a one-to-one or complete match between a control and one or more policies. Som sådan är kompatibel i Azure policy endast som avser själva principerna. Detta garanterar inte att du är helt kompatibel med alla krav för en kontroll.As such, Compliant in Azure Policy refers only to the policies themselves; this doesn't ensure you're fully compliant with all requirements of a control. Standarden för efterlevnad innehåller dessutom kontroller som inte åtgärdas av några Azure Policy definitioner för tillfället.In addition, the compliance standard includes controls that aren't addressed by any Azure Policy definitions at this time. Därför är regelefterlevnad i Azure Policy bara en partiell vy av din övergripande kompatibilitetsstatus.Therefore, compliance in Azure Policy is only a partial view of your overall compliance status. Kopplingarna mellan kontroller och Azure Policy definitioner för det här skiss exemplet för efterlevnad kan ändras med tiden.The associations between controls and Azure Policy definitions for this compliance blueprint sample may change over time. Om du vill visa ändrings historiken läser du inchecknings historiken för GitHub.To view the change history, see the GitHub Commit History.

En. 6.1.2-ansvars fördelningA.6.1.2 Segregation of duties

Att ha bara en Azure-prenumerations ägare tillåter inte administrativ redundans.Having only one Azure subscription owner doesn't allow for administrative redundancy. Att ha för många Azure-prenumerationer kan däremot öka risken för intrång via ett komprometterat ägar konto.Conversely, having too many Azure subscription owners can increase the potential for a breach via a compromised owner account. Den här skissen hjälper dig att underhålla ett lämpligt antal prenumerations ägare i Azure genom att tilldela två Azure policy definitioner som granskar antalet ägare för Azure-prenumerationer.This blueprint helps you maintain an appropriate number of Azure subscription owners by assigning two Azure Policy definitions that audit the number of owners for Azure subscriptions. Hantering av prenumerations ägarens behörigheter kan hjälpa dig att implementera lämplig uppdelning av uppgifter.Managing subscription owner permissions can help you implement appropriate separation of duties.

  • Högst 3 ägare bör anges för din prenumerationA maximum of 3 owners should be designated for your subscription
  • Det bör finnas fler än en ägare som tilldelats din prenumerationThere should be more than one owner assigned to your subscription

En. 8.2.1-klassificering av informationA.8.2.1 Classification of information

Azures tjänst för SQL sårbarhets bedömning kan hjälpa dig att identifiera känsliga data som lagras i dina databaser och innehåller rekommendationer för att klassificera dessa data.Azure's SQL Vulnerability Assessment service can help you discover sensitive data stored in your databases and includes recommendations to classify that data. Den här skissen tilldelar en Azure policy -definition för att granska att sårbarheter som identifieras under genomsökningen av SQL sårbarhets bedömning åtgärdas.This blueprint assigns an Azure Policy definition to audit that vulnerabilities identified during SQL Vulnerability Assessment scan are remediated.

  • Säkerhets risker i SQL-databaser bör åtgärdasVulnerabilities on your SQL databases should be remediated

En. 9.1.2-åtkomst till nätverk och nätverks tjänsterA.9.1.2 Access to networks and network services

Rollbaserad åtkomst kontroll i Azure (Azure RBAC) hjälper till att hantera vem som har åtkomst till Azure-resurser.Azure role-based access control (Azure RBAC) helps to manage who has access to Azure resources. Den här skissen hjälper dig att styra åtkomsten till Azure-resurser genom att tilldela sju Azure policy definitioner.This blueprint helps you control access to Azure resources by assigning seven Azure Policy definitions. Dessa principer granskar användningen av resurs typer och konfigurationer som kan tillåta mer åtkomst till resurser.These policies audit use of resource types and configurations that may allow more permissive access to resources. Att förstå resurser som strider mot dessa principer kan hjälpa dig att vidta lämpliga åtgärder för att säkerställa åtkomst till Azure-resurser som är begränsade till behöriga användare.Understanding resources that are in violation of these policies can help you take corrective actions to ensure access Azure resources is restricted to authorized users.

  • Visa gransknings resultat från virtuella Linux-datorer som har konton utan lösen ordShow audit results from Linux VMs that have accounts without passwords
  • Visa gransknings resultat från virtuella Linux-datorer som tillåter fjärr anslutningar från konton utan lösen ordShow audit results from Linux VMs that allow remote connections from accounts without passwords
  • Lagrings konton ska migreras till nya Azure Resource Manager resurserStorage accounts should be migrated to new Azure Resource Manager resources
  • Virtuella datorer ska migreras till nya Azure Resource Manager-resurserVirtual machines should be migrated to new Azure Resource Manager resources
  • Granska virtuella datorer som inte använder hanterade diskarAudit VMs that do not use managed disks

En. 9.2.3-hantering av privilegierade behörigheterA.9.2.3 Management of privileged access rights

Den här skissen hjälper dig att begränsa och kontrol lera privilegierade åtkomst rättigheter genom att tilldela fyra Azure policy -definitioner för att granska externa konton med ägare och/eller Skriv behörigheter och konton med ägare och/eller Skriv behörigheter som inte har Multi-Factor Authentication aktiverat.This blueprint helps you restrict and control privileged access rights by assigning four Azure Policy definitions to audit external accounts with owner and/or write permissions and accounts with owner and/or write permissions that don't have multi-factor authentication enabled. Rollbaserad åtkomst kontroll i Azure (Azure RBAC) hjälper till att hantera vem som har åtkomst till Azure-resurser.Azure role-based access control (Azure RBAC) helps to manage who has access to Azure resources. Den här skissen tilldelar också tre Azure Policy definitioner för att granska användningen av Azure Active Directory autentisering för SQL-servrar och Service Fabric.This blueprint also assigns three Azure Policy definitions to audit use of Azure Active Directory authentication for SQL Servers and Service Fabric. Med hjälp av Azure Active Directory-autentisering möjliggörs förenklad behörighets hantering och centraliserad identitets hantering för databas användare och andra Microsoft-tjänster.Using Azure Active Directory authentication enables simplified permission management and centralized identity management of database users and other Microsoft services. Den här skissen tilldelar också en Azure Policy-definition för att granska användningen av anpassade Azure RBAC-regler.This blueprint also assigns an Azure Policy definition to audit the use of custom Azure RBAC rules. Att förstå var anpassade Azure RBAC-regler implementeras kan hjälpa dig att kontrol lera behovet och korrekt implementering, eftersom anpassade Azure RBAC-regler är fel känsliga.Understanding where custom Azure RBAC rules are implement can help you verify need and proper implementation, as custom Azure RBAC rules are error prone.

  • MFA ska vara aktiverat på konton med ägar behörigheter för din prenumerationMFA should be enabled on accounts with owner permissions on your subscription
  • Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationenMFA should be enabled accounts with write permissions on your subscription
  • Externa konton med ägar behörigheter bör tas bort från din prenumerationExternal accounts with owner permissions should be removed from your subscription
  • Externa konton med Skriv behörighet bör tas bort från din prenumerationExternal accounts with write permissions should be removed from your subscription
  • En Azure Active Directory administratör bör tillhandahållas för SQL-servrarAn Azure Active Directory administrator should be provisioned for SQL servers
  • Service Fabric kluster bör endast använda Azure Active Directory för klientautentiseringService Fabric clusters should only use Azure Active Directory for client authentication
  • Granska användningen av anpassade RBAC-reglerAudit usage of custom RBAC rules

En. 9.2.4-hantering av information om hemlig autentisering av användareA.9.2.4 Management of secret authentication information of users

Den här skissen tilldelar tre Azure policy definitioner för granskning av konton som inte har Multi-Factor Authentication aktiverat.This blueprint assigns three Azure Policy definitions to audit accounts that don't have multi-factor authentication enabled. Multi-Factor Authentication hjälper till att skydda konton även om en viss autentiseringsinformation komprometteras.Multi-factor authentication helps keep accounts secure even if one piece of authentication information is compromised. Genom att övervaka konton utan att Multi-Factor Authentication har Aktiver ATS kan du identifiera konton som kan vara sannolikare.By monitoring accounts without multi-factor authentication enabled, you can identify accounts that may be more likely to be compromised. Den här skissen tilldelar också två Azure Policy definitioner som granskar virtuella Linux-lösenords lösen ords fil behörigheter för att varna om de är felaktigt inställda.This blueprint also assigns two Azure Policy definitions that audit Linux VM password file permissions to alert if they're set incorrectly. Med den här inställningen kan du vidta lämpliga åtgärder för att säkerställa att autentiserare inte komprometteras.This setup enables you to take corrective action to ensure authenticators aren't compromised.

  • MFA ska vara aktiverat på konton med ägar behörigheter för din prenumerationMFA should be enabled on accounts with owner permissions on your subscription
  • MFA ska vara aktiverat på konton med Läs behörighet för din prenumerationMFA should be enabled on accounts with read permissions on your subscription
  • Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationenMFA should be enabled accounts with write permissions on your subscription
  • Visa gransknings resultat från virtuella Linux-datorer som inte har passwd-filbehörigheterna inställt på 0644Show audit results from Linux VMs that do not have the passwd file permissions set to 0644

En. 9.2.5-granskning av användar behörighetA.9.2.5 Review of user access rights

Rollbaserad åtkomst kontroll i Azure (Azure RBAC) hjälper dig att hantera vem som har åtkomst till resurser i Azure.Azure role-based access control (Azure RBAC) helps you manage who has access to resources in Azure. Med hjälp av Azure Portal kan du granska vem som har åtkomst till Azure-resurser och deras behörigheter.Using the Azure portal, you can review who has access to Azure resources and their permissions. Den här skissen tilldelar fyra Azure policy definitioner till gransknings konton som ska prioriteras för granskning, inklusive avskrivna konton och externa konton med utökade behörigheter.This blueprint assigns four Azure Policy definitions to audit accounts that should be prioritized for review, including depreciated accounts and external accounts with elevated permissions.

  • Föråldrade konton bör tas bort från din prenumerationDeprecated accounts should be removed from your subscription
  • Föråldrade konton med ägar behörigheter bör tas bort från din prenumerationDeprecated accounts with owner permissions should be removed from your subscription
  • Externa konton med ägar behörigheter bör tas bort från din prenumerationExternal accounts with owner permissions should be removed from your subscription
  • Externa konton med Skriv behörighet bör tas bort från din prenumerationExternal accounts with write permissions should be removed from your subscription

A. 9.2.6 borttagning eller justering av åtkomst rättigheterA.9.2.6 Removal or adjustment of access rights

Rollbaserad åtkomst kontroll i Azure (Azure RBAC) hjälper dig att hantera vem som har åtkomst till resurser i Azure.Azure role-based access control (Azure RBAC) helps you manage who has access to resources in Azure. Med hjälp av Azure Active Directory och Azure RBAC kan du uppdatera användar roller för att återspegla organisations ändringar.Using Azure Active Directory and Azure RBAC, you can update user roles to reflect organizational changes. Vid behov kan konton blockeras från att logga in (eller tas bort), vilket omedelbart tar bort åtkomst behörighet till Azure-resurser.When needed, accounts can be blocked from signing in (or removed), which immediately removes access rights to Azure resources. Den här skissen tilldelar två Azure policy definitioner för att granska avskrivet konto som bör tas bort.This blueprint assigns two Azure Policy definitions to audit depreciated account that should be considered for removal.

  • Föråldrade konton bör tas bort från din prenumerationDeprecated accounts should be removed from your subscription
  • Föråldrade konton med ägar behörigheter bör tas bort från din prenumerationDeprecated accounts with owner permissions should be removed from your subscription

9.4.2 säkra inloggnings procedurerA.9.4.2 Secure log-on procedures

Den här skissen tilldelar tre Azure Policy definitioner för granskning av konton som inte har Multi-Factor Authentication aktiverat.This blueprint assigns three Azure Policy definitions to audit accounts that don't have multi-factor authentication enabled. Azure AD Multi-Factor Authentication ger ytterligare säkerhet genom att kräva en andra form av autentisering och ger stark autentisering.Azure AD Multi-Factor Authentication provides additional security by requiring a second form of authentication and delivers strong authentication. Genom att övervaka konton utan att Multi-Factor Authentication har Aktiver ATS kan du identifiera konton som kan vara sannolikare.By monitoring accounts without multi-factor authentication enabled, you can identify accounts that may be more likely to be compromised.

  • MFA ska vara aktiverat på konton med ägar behörigheter för din prenumerationMFA should be enabled on accounts with owner permissions on your subscription
  • MFA ska vara aktiverat på konton med Läs behörighet för din prenumerationMFA should be enabled on accounts with read permissions on your subscription
  • Multifaktorautentisering bör aktiveras på konton med skrivbehörighet för prenumerationenMFA should be enabled accounts with write permissions on your subscription

Ett. 9.4.3 lösen ords hanterings systemA.9.4.3 Password management system

Den här skissen hjälper dig att använda starka lösen ord genom att tilldela 10 Azure policy -definitioner som granskar virtuella Windows-datorer som inte uppfyller minimi kraven för styrka och andra lösen ord.This blueprint helps you enforce strong passwords by assigning 10 Azure Policy definitions that audit Windows VMs that don't enforce minimum strength and other password requirements. Om de virtuella datorerna strider mot principen för lösen ords säkerhet kan du vidta åtgärder för att säkerställa att lösen ord för alla VM-användarkonton är kompatibla med principen.Awareness of VMs in violation of the password strength policy helps you take corrective actions to ensure passwords for all VM user accounts are compliant with policy.

  • Visa gransknings resultat från virtuella Windows-datorer där inställningen för lösen ords komplexitet är aktive radShow audit results from Windows VMs that do not have the password complexity setting enabled
  • Visa gransknings resultat från virtuella Windows-datorer som inte har en högsta ålder för lösen ord på 70 dagarShow audit results from Windows VMs that do not have a maximum password age of 70 days
  • Visa gransknings resultat från virtuella Windows-datorer som inte har minsta ålder på lösen ord på 1 dagShow audit results from Windows VMs that do not have a minimum password age of 1 day
  • Visa gransknings resultat från virtuella Windows-datorer som inte begränsar minsta längd på lösen ord till 14 teckenShow audit results from Windows VMs that do not restrict the minimum password length to 14 characters
  • Visa gransknings resultat från virtuella Windows-datorer som tillåter åter användning av de tidigare 24 lösen ordenShow audit results from Windows VMs that allow re-use of the previous 24 passwords

En. 10.1.1-princip för användning av kryptografiska kontrollerA.10.1.1 Policy on the use of cryptographic controls

Den här skissen hjälper dig att genomdriva principen om användningen av kryptografiska kontroller genom att tilldela 13 Azure policy definitioner som tillämpar vissa kryptografiska kontroller och gransknings användningen av svaga krypterings inställningar.This blueprint helps you enforce your policy on the use of cryptograph controls by assigning 13 Azure Policy definitions that enforce specific cryptograph controls and audit use of weak cryptographic settings. Att förstå var dina Azure-resurser kan ha icke-optimala kryptografiska konfigurationer kan hjälpa dig att vidta korrigerande åtgärder för att säkerställa att resurserna konfigureras i enlighet med din informations säkerhets princip.Understanding where your Azure resources may have non-optimal cryptographic configurations can help you take corrective actions to ensure resources are configured in accordance with your information security policy. Mer specifikt kräver principerna som tilldelats av den här skissen kryptering för Blob Storage-konton och data Lake Storage-konton. Kräv transparent data kryptering på SQL-databaser; granska saknad kryptering på lagrings konton, SQL-databaser, virtuella dator diskar och variabler för Automation-konton. granska oskyddade anslutningar till lagrings konton, Function-appar, webbappar, API Apps och Redis Cache; granska svag kryptering av lösen ord för virtuella datorer; och granska okrypterad Service Fabric kommunikation.Specifically, the policies assigned by this blueprint require encryption for blob storage accounts and data lake storage accounts; require transparent data encryption on SQL databases; audit missing encryption on storage accounts, SQL databases, virtual machine disks, and automation account variables; audit insecure connections to storage accounts, Function Apps, Web App, API Apps, and Redis Cache; audit weak virtual machine password encryption; and audit unencrypted Service Fabric communication.

  • Funktionsapp bör endast vara tillgängligt via HTTPSFunction App should only be accessible over HTTPS
  • Webb program bör endast vara tillgängliga via HTTPSWeb Application should only be accessible over HTTPS
  • API-appen bör bara vara tillgänglig via HTTPSAPI App should only be accessible over HTTPS
  • Visa gransknings resultat från virtuella Windows-datorer som inte lagrar lösen ord med omvänd krypteringShow audit results from Windows VMs that do not store passwords using reversible encryption
  • Disk kryptering bör tillämpas på virtuella datorerDisk encryption should be applied on virtual machines
  • Variabler för Automation-konton ska vara krypteradeAutomation account variables should be encrypted
  • Endast säkra anslutningar till Azure-cachen för Redis ska aktive rasOnly secure connections to your Azure Cache for Redis should be enabled
  • Säker överföring till lagringskonton ska vara aktiveratSecure transfer to storage accounts should be enabled
  • Service Fabric-kluster ska ha egenskapen ClusterProtectionLevel inställd på EncryptAndSignService Fabric clusters should have the ClusterProtectionLevel property set to EncryptAndSign
  • transparent datakryptering på SQL-databaser ska aktive rasTransparent Data Encryption on SQL databases should be enabled

Händelse loggning för 12.4.1A.12.4.1 Event logging

Den här skissen hjälper dig att se till att system händelser loggas genom att tilldela sju Azure policy definitioner som granskar logg inställningar på Azure-resurser.This blueprint helps you ensure system events are logged by assigning seven Azure Policy definitions that audit log settings on Azure resources. Diagnostikloggar ger inblick i åtgärder som utfördes i Azure-resurser.Diagnostic logs provide insight into operations that were performed within Azure resources.

  • Granska beroende agent distribution – VM-avbildning (OS) har inte listatsAudit Dependency agent deployment - VM Image (OS) unlisted
  • Granska beroende agent distribution i skalnings uppsättningar för virtuella datorer – VM-avbildning (OS) har inte listatsAudit Dependency agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • [För hands version]: granska Log Analytics agent distribution-VM avbildning (OS) har inte listats [Preview]: Audit Log Analytics Agent Deployment - VM Image (OS) unlisted
  • Granska Log Analytics agent distribution i skalnings uppsättningar för virtuella datorer – VM-avbildningen (OS) har inte listatsAudit Log Analytics agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • Granska diagnostikinställningAudit diagnostic setting
  • Granskning på SQL Server måste vara aktiveratAuditing on SQL server should be enabled

En. 12.4.3-administratör och operatörs loggarA.12.4.3 Administrator and operator logs

Den här skissen hjälper dig att se till att system händelser loggas genom att tilldela sju Azure Policy definitioner som granskar logg inställningar på Azure-resurser.This blueprint helps you ensure system events are logged by assigning seven Azure Policy definitions that audit log settings on Azure resources. Diagnostikloggar ger inblick i åtgärder som utfördes i Azure-resurser.Diagnostic logs provide insight into operations that were performed within Azure resources.

  • Granska beroende agent distribution – VM-avbildning (OS) har inte listatsAudit Dependency agent deployment - VM Image (OS) unlisted
  • Granska beroende agent distribution i skalnings uppsättningar för virtuella datorer – VM-avbildning (OS) har inte listatsAudit Dependency agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • [För hands version]: granska Log Analytics agent distribution-VM avbildning (OS) har inte listats [Preview]: Audit Log Analytics Agent Deployment - VM Image (OS) unlisted
  • Granska Log Analytics agent distribution i skalnings uppsättningar för virtuella datorer – VM-avbildningen (OS) har inte listatsAudit Log Analytics agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • Granska diagnostikinställningAudit diagnostic setting
  • Granskning på SQL Server måste vara aktiveratAuditing on SQL server should be enabled

Synkronisering av 12.4.4-klockorA.12.4.4 Clock synchronization

Den här skissen hjälper dig att se till att system händelser loggas genom att tilldela sju Azure Policy definitioner som granskar logg inställningar på Azure-resurser.This blueprint helps you ensure system events are logged by assigning seven Azure Policy definitions that audit log settings on Azure resources. Azure-loggar förlitar sig på synkroniserade interna klockor för att skapa en tidskorrelerad post av händelser mellan resurser.Azure logs rely on synchronized internal clocks to create a time-correlated record of events across resources.

  • Granska beroende agent distribution – VM-avbildning (OS) har inte listatsAudit Dependency agent deployment - VM Image (OS) unlisted
  • Granska beroende agent distribution i skalnings uppsättningar för virtuella datorer – VM-avbildning (OS) har inte listatsAudit Dependency agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • [För hands version]: granska Log Analytics agent distribution-VM avbildning (OS) har inte listats [Preview]: Audit Log Analytics Agent Deployment - VM Image (OS) unlisted
  • Granska Log Analytics agent distribution i skalnings uppsättningar för virtuella datorer – VM-avbildningen (OS) har inte listatsAudit Log Analytics agent deployment in virtual machine scale sets - VM Image (OS) unlisted
  • Granska diagnostikinställningAudit diagnostic setting
  • Granskning på SQL Server måste vara aktiveratAuditing on SQL server should be enabled

En. 12.5.1-installation av program vara på operativa systemA.12.5.1 Installation of software on operational systems

Anpassningsbar program kontroll är en lösning från Azure Security Center som hjälper dig att styra vilka program som kan köras på dina virtuella datorer i Azure.Adaptive application control is solution from Azure Security Center that helps you control which applications can run on your VMs located in Azure. Den här skissen tilldelar en Azure Policy-definition som övervakar ändringar i uppsättningen tillåtna program.This blueprint assigns an Azure Policy definition that monitors changes to the set of allowed applications. Den här funktionen hjälper dig att styra installationen av program vara och program på virtuella Azure-datorer.This capability helps you control installation of software and applications on Azure VMs.

  • Anpassningsbara program kontroller för att definiera säkra program ska aktive ras på dina datorerAdaptive application controls for defining safe applications should be enabled on your machines

En. 12.6.1-hantering av tekniska sårbarheterA.12.6.1 Management of technical vulnerabilities

Den här skissen hjälper dig att hantera problem med informations systemet genom att tilldela fem Azure policy definitioner som övervakar saknade system uppdateringar, sårbarheter för operativ system, sårbarheter i SQL och virtuella dator sårbarheter i Azure Security Center.This blueprint helps you manage information system vulnerabilities by assigning five Azure Policy definitions that monitor missing system updates, operating system vulnerabilities, SQL vulnerabilities, and virtual machine vulnerabilities in Azure Security Center. Azure Security Center tillhandahåller rapporterings funktioner som gör att du kan få inblick i real tid i säkerhets läget för distribuerade Azure-resurser.Azure Security Center provides reporting capabilities that enable you to have real-time insight into the security state of deployed Azure resources.

  • Övervaka saknade Endpoint Protection i Azure Security CenterMonitor missing Endpoint Protection in Azure Security Center
  • Systemuppdateringar ska ha installerats på dina datorerSystem updates should be installed on your machines
  • Säkerhets problem i säkerhets konfiguration på dina datorer bör åtgärdasVulnerabilities in security configuration on your machines should be remediated
  • Säkerhets risker i SQL-databaser bör åtgärdasVulnerabilities on your SQL databases should be remediated
  • Säkerhets risker bör åtgärdas av en lösning för sårbarhets bedömningVulnerabilities should be remediated by a Vulnerability Assessment solution

12.6.2-begränsningar för program varu installationA.12.6.2 Restrictions on software installation

Anpassningsbar program kontroll är en lösning från Azure Security Center som hjälper dig att styra vilka program som kan köras på dina virtuella datorer i Azure.Adaptive application control is solution from Azure Security Center that helps you control which applications can run on your VMs located in Azure. Den här skissen tilldelar en Azure Policy-definition som övervakar ändringar i uppsättningen tillåtna program.This blueprint assigns an Azure Policy definition that monitors changes to the set of allowed applications. Begränsningar för program varu installation kan hjälpa dig att minska sannolikheten för att program varu sårbarheter införs.Restrictions on software installation can help you reduce the likelihood of introduction of software vulnerabilities.

  • Anpassningsbara program kontroller för att definiera säkra program ska aktive ras på dina datorerAdaptive application controls for defining safe applications should be enabled on your machines

13.1.1 nätverks kontrollerA.13.1.1 Network controls

Den här skissen hjälper dig att hantera och styra nätverk genom att tilldela en Azure policy definition som övervakar nätverks säkerhets grupper med tillåtna regler.This blueprint helps you manage and control networks by assigning an Azure Policy definition that monitors network security groups with permissive rules. Regler som är för tillåtelse kan tillåta oönskad nätverks åtkomst och bör granskas.Rules that are too permissive may allow unintended network access and should be reviewed. Den här skissen tilldelar också tre Azure Policy definitioner som övervakar oskyddade slut punkter, program och lagrings konton.This blueprint also assigns three Azure Policy definitions that monitor unprotected endpoints, applications, and storage accounts. Slut punkter och program som inte skyddas av en brand vägg och lagrings konton med obegränsad åtkomst kan ge oavsiktlig åtkomst till information som finns i informations systemet.Endpoints and applications that aren't protected by a firewall, and storage accounts with unrestricted access can allow unintended access to information contained within the information system.

  • Åtkomst via slut punkt mot Internet bör vara begränsadAccess through Internet facing endpoint should be restricted
  • Lagrings konton bör begränsa nätverks åtkomstenStorage accounts should restrict network access

13.2.1 information överförings principer och procedurerA.13.2.1 Information transfer policies and procedures

Skissen hjälper dig att se till att informations överföring med Azure-tjänster är säker genom att tilldela två Azure policy definitioner för att granska oskyddade anslutningar till lagrings konton och Redis cache.The blueprint helps you ensure information transfer with Azure services is secure by assigning two Azure Policy definitions to audit insecure connections to storage accounts and Redis Cache.

  • Endast säkra anslutningar till Azure-cachen för Redis ska aktive rasOnly secure connections to your Azure Cache for Redis should be enabled
  • Säker överföring till lagringskonton ska vara aktiveratSecure transfer to storage accounts should be enabled

Nästa stegNext steps

Nu när du har granskat kontroll mappningen av ritningen ISO 27001 Shared Services kan du gå till följande artiklar om du vill lära dig mer om arkitekturen och hur du distribuerar det här exemplet:Now that you've reviewed the control mapping of the ISO 27001 Shared Services blueprint, visit the following articles to learn about the architecture and how to deploy this sample:

Ytterligare artiklar om skisser och hur de används:Additional articles about blueprints and how to use them: