Kanada Federal PBMM mevzuatı uyumluluğu yerleşik girişiminin ayrıntıları

Aşağıdaki makalede Azure Ilke mevzuatı uyumluluğu yerleşik girişim tanımının, Kanada Federal PBMM 'deki Uyumluluk etki alanları ve denetimleriyle nasıl eşleştiği açıklanır. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz. Kanada Federal PBMM. Sahipliği anlamak için bkz. Azure ilke ilkesi tanımı ve bulutta paylaşılan sorumluluk.

Aşağıdaki eşlemeler Kanada Federal PBMM denetimlerine göre yapılır. Doğrudan belirli bir Uyumluluk etki alanına geçmek için sağ taraftaki gezintiyi kullanın. Denetimlerin birçoğu bir Azure Policy Initiative tanımıyla uygulanır. Tüm girişim tanımını gözden geçirmek için Azure portal ilkeyi açın ve tanımlar sayfasını seçin. Ardından, Kanada Federal PBMM mevzuatı uyumluluğu yerleşik girişim tanımını bulun ve seçin.

Bu yerleşik girişim, Kanada Federal pbmm şema örneğininbir parçası olarak dağıtılır.

Önemli

Aşağıdaki her denetim bir veya daha fazla Azure ilke tanımı ile ilişkilidir. Bu ilkeler, denetimiyle uyumluluğu değerlendirmenize yardımcı olabilir; Ancak, bir denetim ile bir veya daha fazla ilke arasında genellikle bire bir veya tam eşleşme yoktur. Bu nedenle, Azure Ilkesiyle uyumlu yalnızca ilke tanımlarının kendilerine başvurur; Bu, bir denetimin tüm gereksinimleriyle tamamen uyumlu olduğunuzdan emin değildir. Buna ek olarak, uyumluluk standardı şu anda herhangi bir Azure Ilke tanımı tarafından açıklanmayan denetimler içerir. Bu nedenle, Azure Ilkesinde uyumluluk, genel uyumluluk durumunuzu yalnızca kısmi görünümüdür. Bu uyumluluk standardı için uyumluluk etki alanları, denetimler ve Azure Ilke tanımları arasındaki ilişkilendirmeler zaman içinde değişebilir. değişiklik geçmişini görüntülemek için GitHub tamamlama geçmişinebakın.

Erişim Denetimi

Hesap Yönetimi

Kimlik: CcCs AC-2

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açma işleminden engellenen hesaplardır. Auditınotexists, devre dışı 3.0.0
Sahip izinleri olan kullanım dışı hesaplar aboneliğinizden kaldırılmalıdır Sahip izinleri olan kullanım dışı hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açma işleminden engellenen hesaplardır. Auditınotexists, devre dışı 3.0.0
Sahip izinleri olan dış hesaplar aboneliğinizden kaldırılmalıdır İzlenmeyen erişimi engellemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. Auditınotexists, devre dışı 3.0.0
Okuma izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir İzlenmeyen erişimi engellemek için, okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. Auditınotexists, devre dışı 3.0.0
Yazma izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir İzlenmeyen erişimi engellemek için, yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. Auditınotexists, devre dışı 3.0.0

Hesap yönetimi | Role-Based şemaları

Kimlik: CcCs AC-2 (7)

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
SQL sunucuları için Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Azure Active Directory yöneticisinin sağlamasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcıları ve diğer Microsoft hizmetleri için basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi imkanı sunar Auditınotexists, devre dışı 1.0.0
Service Fabric kümeler yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır istemci kimlik doğrulamasının kullanımını yalnızca Service Fabric Azure Active Directory aracılığıyla denetle Denetim, reddetme, devre dışı 1.1.0

Flow zorlama bilgileri

Kimlik: CcCs AC-4

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
CORS, her kaynağın Web Uygulamalarınıza erişmesine izin vermemelidir Çıkış noktaları arası kaynak paylaşımı (CORS), tüm etki alanlarının Web uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının Web uygulamanızla etkileşime girmesine izin verin. Auditınotexists, devre dışı 1.0.0

Görevlerin ayrımı

Kimlik: CcCs AC-5

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Aboneliğiniz için en fazla 3 sahip belirtilmelidir Güvenliği aşılmış bir sahibe göre ihlal olasılığını azaltmak için 3 adede kadar abonelik sahibi belirlemeniz önerilir. Auditınotexists, devre dışı 3.0.0
Kimliği olmayan sanal makinelerde Konuk yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik Ekle Bu ilke, Azure 'da barındırılan, Konuk yapılandırması tarafından desteklenen ancak herhangi bir yönetilen kimliği bulunmayan sanal makinelere sistem tarafından atanan yönetilen bir kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm konuk yapılandırma atamaları için bir önkoşuldur ve herhangi bir konuk yapılandırma ilkesi tanımı kullanılmadan önce makinelere eklenmelidir. Konuk yapılandırması hakkında daha fazla bilgi için, adresini ziyaret edin https://aka.ms/gcpol . değiştir 1.0.0
Kullanıcı tarafından atanan bir kimliğe sahip VM 'lerde Konuk yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik Ekle Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılamadan önce makinelere eklenmiştir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. değiştir 1.0.0
Yöneticiler Windows belirtilen üyelerden herhangi biri eksik olan makineleri denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Yerel Yöneticiler grubunda ilke parametresinde listelenen bir veya daha fazla üye yoksa makineler uyumlu değildir. auditIfNotExists 1.0.0
Yöneticiler Windows belirtilen üyeleri olan makineleri denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Yerel Yöneticiler grubu ilke parametresinde listelenen bir veya daha fazla üye içeriyorsa makineler uyumlu değildir. auditIfNotExists 1.0.0
Sanal Windows konuk yapılandırma atamalarını etkinleştirmek için konuk Windows dağıtın Bu ilke, Windows Yapılandırması uzantısını Azure'Windows konuk yapılandırması tarafından desteklenen sanal makinelere dağıtır. Konuk Windows uzantısı, tüm Windows Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir konuk konuk yapılandırması ilke tanımı Windows makinelere dağıtılabilir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. deployIfNotExists 1.0.1
Aboneliğinize atanmış birden fazla sahip olması gerekir Yönetici erişimi yedekliliği için birden fazla abonelik sahibi atamanız önerilir. AuditIfNotExists, Disabled 3.0.0

En Az Ayrıcalık

Kimlik: CCCS AC-6

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Aboneliğiniz için en fazla 3 sahip atanmalıdır Güvenliği aşılmış bir sahibin ihlal riskini azaltmak için en fazla 3 abonelik sahibi atamanız önerilir. AuditIfNotExists, Disabled 3.0.0
Kimlikleri olmayan sanal makinelerde Konuk Yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılamadan önce makinelere eklenmiştir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. değiştir 1.0.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılamadan önce makinelere eklenmiştir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. değiştir 1.0.0
Yöneticiler Windows belirtilen üyelerden herhangi biri eksik olan makineleri denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Yerel Yöneticiler grubunda ilke parametresinde listelenen bir veya daha fazla üye yoksa makineler uyumlu değildir. auditIfNotExists 1.0.0
Yöneticiler Windows belirtilen üyeleri olan makineleri denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Yerel Yöneticiler grubu ilke parametresinde listelenen bir veya daha fazla üye içeriyorsa makineler uyumlu değildir. auditIfNotExists 1.0.0
Sanal Windows konuk yapılandırma atamalarını etkinleştirmek için konuk Windows dağıtın Bu ilke, Windows Yapılandırması uzantısını Azure'Windows konuk yapılandırması tarafından desteklenen sanal makinelere dağıtır. Konuk Windows uzantısı, tüm Windows Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir konuk konuk yapılandırması ilke tanımı Windows makinelere dağıtılabilir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. deployIfNotExists 1.0.1
Aboneliğinize atanmış birden fazla sahip olması gerekir Yönetici erişimi yedekliliği için birden fazla abonelik sahibi atamanız önerilir. AuditIfNotExists, Disabled 3.0.0

Uzaktan Erişim | Otomatik İzleme / Denetim

Kimlik: CCCS AC-17(1)

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Kimlikleri olmayan sanal makinelerde Konuk Yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılamadan önce makinelere eklenmiştir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. değiştir 1.0.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılamadan önce makinelere eklenmiştir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. değiştir 1.0.0
Parola olmadan hesaplardan uzak bağlantılara izin verecek Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Linux makineleri parolasız hesaplardan uzak bağlantılara izin verdiyseniz makineler uyumlu değildir AuditIfNotExists, Disabled 1.0.0
Linux VM'lerde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma Bu ilke, Linux konuk yapılandırma uzantısını Azure 'da barındırılan ve konuk yapılandırması tarafından desteklenen Linux sanal makinelerine dağıtır. Linux konuk yapılandırma uzantısı, tüm Linux konuk yapılandırma atamaları için bir önkoşuldur ve herhangi bir Linux konuk yapılandırma ilkesi tanımı kullanılmadan önce makinelere dağıtılması gerekir. Konuk yapılandırması hakkında daha fazla bilgi için, adresini ziyaret edin https://aka.ms/gcpol . deployIfNotExists 1.0.1
API Apps için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, API uygulamalarında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapalı olmalıdır. Auditınotexists, devre dışı 1.0.0
Işlev uygulamaları için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, işlev uygulamalarında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapalı olmalıdır. Auditınotexists, devre dışı 1.0.0
Web uygulamaları için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, gelen bağlantı noktalarının bir Web uygulamasında açılmasını gerektirir. Uzaktan hata ayıklama kapalı olmalıdır. Auditınotexists, devre dışı 1.0.0
Depolama hesapların ağ erişimini kısıtlanması gerekir Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Ağ kurallarını, yalnızca izin verilen ağların uygulamalarının depolama hesabına erişebilmesi için yapılandırın. Belirli internet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarına yönelik trafiğe erişim verilebilir Denetim, reddetme, devre dışı 1.1.1

Denetim ve sorumluluk

Denetim kayıtlarının içeriği

Kimlik: CcCs au-3

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Listelenen sanal makine görüntüleri için Log Analytics Aracısı etkinleştirilmelidir Sanal makine görüntüsü tanımlanan listede değilse ve aracı yüklü değilse, sanal makineleri uyumsuz olarak raporlar. Auditınotexists, devre dışı 2.0.0-Önizleme
Log Analytics aracısının, listelenen sanal makine görüntüleri için sanal makine ölçek kümelerinde etkinleştirilmesi gerekir Sanal makine görüntüsü tanımlanmış listede değilse ve aracı yüklü değilse, sanal makine ölçek kümelerini uyumlu değil olarak raporlar. Auditınotexists, devre dışı 2.0.0
Sanal makinelerin belirtilen bir çalışma alanına bağlı olması gerekir İlke/girişim atamasında belirtilen Log Analytics çalışma alanına oturum açtıklarında, sanal makineleri uyumsuz olarak raporlar. Auditınotexists, devre dışı 1.1.0

Denetim Işleme hatalarının yanıtı

Kimlik: CcCs au-5

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Tanılama ayarını denetle Seçili kaynak türleri için tanılama ayarını denetle AuditIfNotExists 1.0.0
SQL sunucuda denetim etkinleştirilmelidir SQL Server denetim, sunucudaki tüm veritabanları genelinde veritabanı etkinliklerini izlemek ve bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. Auditınotexists, devre dışı 2.0.0
SQL için azure Defender, korumasız azure SQL sunucuları için etkinleştirilmelidir gelişmiş veri güvenliği olmadan SQL sunucularını denetleme Auditınotexists, devre dışı 2.0.1
SQL için Azure Defender, korumasız SQL yönetilen örnekler için etkinleştirilmelidir gelişmiş veri güvenliği olmadan her SQL yönetilen örneği denetleyin. Auditınotexists, devre dışı 1.0.2

Denetim oluşturma

Kimlik: CcCs Au-12

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Tanılama ayarını denetle Seçili kaynak türleri için tanılama ayarını denetle AuditIfNotExists 1.0.0
SQL sunucuda denetim etkinleştirilmelidir SQL Server denetim, sunucudaki tüm veritabanları genelinde veritabanı etkinliklerini izlemek ve bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. Auditınotexists, devre dışı 2.0.0
SQL için azure Defender, korumasız azure SQL sunucuları için etkinleştirilmelidir gelişmiş veri güvenliği olmadan SQL sunucularını denetleme Auditınotexists, devre dışı 2.0.1
SQL için Azure Defender, korumasız SQL yönetilen örnekler için etkinleştirilmelidir gelişmiş veri güvenliği olmadan her SQL yönetilen örneği denetleyin. Auditınotexists, devre dışı 1.0.2
Listelenen sanal makine görüntüleri için Log Analytics Aracısı etkinleştirilmelidir Sanal makine görüntüsü tanımlanan listede değilse ve aracı yüklü değilse, sanal makineleri uyumsuz olarak raporlar. Auditınotexists, devre dışı 2.0.0-Önizleme
Log Analytics aracısının, listelenen sanal makine görüntüleri için sanal makine ölçek kümelerinde etkinleştirilmesi gerekir Sanal makine görüntüsü tanımlı listede yoksa ve aracı yüklenmezse, sanal makine ölçek kümelerini uyumlu değil olarak raporlar. AuditIfNotExists, Disabled 2.0.0
Sanal makinelerin belirtilen çalışma alanına bağlı olması gerekir İlke/girişim atamasında belirtilen Log Analytics çalışma alanında günlüğe kaydetmeyen sanal makineleri uyumlu değil olarak raporlar. AuditIfNotExists, Disabled 1.1.0

Yapılandırma Yönetimi

En Az İşlevsellik | Yetkili Yazılım /Beyaz Listeye

Kimlik: CCCS CM-7(5)

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Güvenli uygulamaları tanımlamak için uyarlamalı uygulama denetimleri makineleriniz üzerinde etkinleştirilmelidir Makineleriniz üzerinde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştırıldıklarda sizi uyaracak şekilde uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesi ile her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamaların listesini önerir. AuditIfNotExists, Disabled 3.0.0

User-Installed Software

KIMLIK: CCCS CM-11

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Güvenli uygulamaları tanımlamak için uyarlamalı uygulama denetimleri makineleriniz üzerinde etkinleştirilmelidir Makineleriniz üzerinde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştırıldıklarda sizi uyaracak şekilde uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesi ile her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamaların listesini önerir. AuditIfNotExists, Disabled 3.0.0

Contingency Planning

Alternatif İşleme Sitesi

Kimlik: CCCS CP-7

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Olağanüstü durum kurtarma yapılandırılmadan sanal makineleri denetleme Olağanüstü durum kurtarma yapılandırılmamış sanal makineleri denetleme. Olağanüstü durum kurtarma hakkında daha fazla bilgi edinmek için ziyaret https://aka.ms/asr-doc edin. auditIfNotExists 1.0.0

Belirleme ve Kimlik Doğrulaması

Kimlik Ve Kimlik Doğrulama (Kuruluş Kullanıcıları) | Ayrıcalıklı Hesaplara Ağ Erişimi

Kimlik: CCCS IA-2(1)

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Aboneliğinizde yazma izinleri olan hesaplarda MFA etkinleştirilmelidir Hesap veya kaynak ihlallerini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesapları için Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Disabled 3.0.0
Aboneliğiniz üzerinde sahip izinlerine sahip hesaplarda MFA etkinleştirilmelidir Hesap veya kaynak ihlallerini önlemek için sahip izinlerine sahip olan tüm abonelik hesapları için Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Disabled 3.0.0

Authenticator Yönetimi

Kimlik: CCCS IA-5

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Kimlikleri olmayan sanal makinelerde Konuk Yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimliği olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılamadan önce makinelere eklenmiştir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. değiştir 1.0.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılamadan önce makinelere eklenmiştir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. değiştir 1.0.0
Passwd dosya izinleri 0644 olarak ayarlan yapmayan Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Passwd dosya izinlerine sahip olmayan Linux makineleri 0644 olarak ayarlanmışsa makineler uyumlu değildir AuditIfNotExists, Disabled 1.0.0
Parolasız hesapları olan Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Parolasız hesapları olan Linux makinelerde makineler uyumlu değildir AuditIfNotExists, Disabled 1.0.0
Linux VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma Bu ilke, Linux konuk yapılandırma uzantısını Azure 'da barındırılan ve konuk yapılandırması tarafından desteklenen Linux sanal makinelerine dağıtır. Linux konuk yapılandırma uzantısı, tüm Linux konuk yapılandırma atamaları için bir önkoşuldur ve herhangi bir Linux konuk yapılandırma ilkesi tanımı kullanılmadan önce makinelere dağıtılması gerekir. Konuk yapılandırması hakkında daha fazla bilgi için, adresini ziyaret edin https://aka.ms/gcpol . deployIfNotExists 1.0.1

Authenticator Yönetim | Password-Based kimlik doğrulaması

Kimlik: CcCs IA-5 (1)

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Kimliği olmayan sanal makinelerde Konuk yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik Ekle Bu ilke, Azure 'da barındırılan, Konuk yapılandırması tarafından desteklenen ancak herhangi bir yönetilen kimliği bulunmayan sanal makinelere sistem tarafından atanan yönetilen bir kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm konuk yapılandırma atamaları için bir önkoşuldur ve herhangi bir konuk yapılandırma ilkesi tanımı kullanılmadan önce makinelere eklenmelidir. Konuk yapılandırması hakkında daha fazla bilgi için, adresini ziyaret edin https://aka.ms/gcpol . değiştir 1.0.0
Kullanıcı tarafından atanan bir kimliğe sahip VM 'lerde Konuk yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik Ekle Bu ilke, Azure 'da barındırılan sanal makinelere, Konuk yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip ancak sistem tarafından atanan bir yönetilen kimliğe sahip olmayan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm konuk yapılandırma atamaları için bir önkoşuldur ve herhangi bir konuk yapılandırma ilkesi tanımı kullanılmadan önce makinelere eklenmelidir. Konuk yapılandırması hakkında daha fazla bilgi için, adresini ziyaret edin https://aka.ms/gcpol . değiştir 1.0.0
önceki 24 parolanın yeniden kullanılmasına izin veren Windows makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için, adresini ziyaret edin https://aka.ms/gcpol . önceki 24 parolanın yeniden kullanılmasına izin veren makineler Windows, makineler uyumlu değil Auditınotexists, devre dışı 1.0.0
en fazla 70 gün parola yaşı olan denetim Windows makineler Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için, adresini ziyaret edin https://aka.ms/gcpol . maksimum parola yaşı 70 gün olmayan Windows makineler, makineler uyumlu değil Auditınotexists, devre dışı 1.0.0
en az 1 günlük parola yaşı olmayan denetim Windows makineler Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için, adresini ziyaret edin https://aka.ms/gcpol . en az 1 günlük parola yaşı olmayan Windows makineler, makineler uyumlu değil Auditınotexists, devre dışı 1.0.0
parola karmaşıklığı ayarı etkin olmayan Windows makineler Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için, adresini ziyaret edin https://aka.ms/gcpol . parola karmaşıklığı ayarı etkinleştirilmemiş Windows makinelerde makineler uyumlu değil Auditınotexists, devre dışı 1.0.0
en az parola uzunluğu 14 karakter olan denetim Windows makineler Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için, adresini ziyaret edin https://aka.ms/gcpol . minimum parola uzunluğu 14 karakter olarak kısıtlanmayan Windows makineler varsa, makineler uyumlu değil Auditınotexists, devre dışı 1.0.0
Windows vm 'lerde konuk yapılandırma atamalarını etkinleştirmek için Windows konuk yapılandırma uzantısını dağıtın bu ilke, konuk yapılandırması tarafından desteklenen Azure 'da barındırılan Windows sanal makinelere Windows konuk yapılandırma uzantısını dağıtır. Windows konuk yapılandırma uzantısı, tüm Windows konuk yapılandırma atamaları için bir önkoşuldur ve herhangi bir Windows konuk yapılandırma ilkesi tanımı kullanılmadan önce makinelere dağıtılması gerekir. Konuk yapılandırması hakkında daha fazla bilgi için, adresini ziyaret edin https://aka.ms/gcpol . deployIfNotExists 1.0.1

Risk değerlendirmesi

Güvenlik açığı taraması

Kimlik: CcCs ra-5

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümünün etkinleştirilmesi gerekir Sanal makineleri, desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadığını tespit etmek üzere denetler. Her bir siber risk ve güvenlik programının çekirdek bileşeni, güvenlik açıklarının tanımlama ve analizidir. Azure Güvenlik Merkezi 'nin standart fiyatlandırma katmanı, sanal makineleriniz için ek ücret olmadan güvenlik açığı taraması içerir. Ayrıca, güvenlik merkezi bu aracı sizin için otomatik olarak dağıtabilir. Auditınotexists, devre dışı 3.0.0
SQL için azure Defender, korumasız azure SQL sunucuları için etkinleştirilmelidir gelişmiş veri güvenliği olmadan SQL sunucularını denetleme Auditınotexists, devre dışı 2.0.1
SQL için Azure Defender, korumasız SQL yönetilen örnekler için etkinleştirilmelidir gelişmiş veri güvenliği olmadan her SQL yönetilen örneği denetleyin. Auditınotexists, devre dışı 1.0.2
SQL veritabanlarında güvenlik açığı bulguları çözüldü olmalıdır İzleme güvenlik açığı değerlendirmesi tarama sonuçları ve veritabanı güvenlik açıklarının nasıl düzeltileceğine ilişkin öneriler. Auditınotexists, devre dışı 4.0.0
Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir Yapılandırılmış temeli karşılamayan sunucular, Azure Güvenlik Merkezi tarafından öneriler olarak izlenir Auditınotexists, devre dışı 3.0.0
Sanal makine ölçek kümelerinizin güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir Saldırılara karşı korumak için sanal makine ölçek kümelerinizin üzerindeki işletim sistemi güvenlik açıklarını denetleyin. Auditınotexists, devre dışı 3.0.0

Sistem ve Iletişim koruması

Hizmet reddi koruması

Kimlik: CcCs SC-5

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Azure DDoS koruma standardı etkinleştirilmelidir Genel bir IP ile uygulama ağ geçidinin parçası olan bir alt ağa sahip tüm sanal ağlar için DDoS koruma standardı etkinleştirilmelidir. Auditınotexists, devre dışı 3.0.0

Sınır koruması

Kimlik: CcCs SC-7

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Uyarlamalı ağ sağlamlaştırma önerileri internet 'e yönelik sanal makinelere uygulanmalıdır Azure Güvenlik Merkezi, Internet 'e yönelik sanal makinelerin trafik düzenlerini analiz eder ve olası saldırı yüzeyini azaltan ağ güvenlik grubu kuralı önerileri sağlar Auditınotexists, devre dışı 3.0.0
Tüm ağ bağlantı noktaları, sanal makineniz ile ilişkili ağ güvenlik gruplarında sınırlandırılmalıdır Azure Güvenlik Merkezi, bazı ağ güvenlik gruplarınızı gelen kurallarınızı çok fazla izin verecek şekilde tanımladı. Gelen kurallar ' any ' veya ' Internet ' aralıklarından erişime izin vermez. Bu, saldırganların kaynaklarınızı hedeflemesini sağlayabilir. Auditınotexists, devre dışı 3.0.0
Depolama hesapların ağ erişimini kısıtlanması gerekir Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Ağ kurallarını, yalnızca izin verilen ağların uygulamalarının depolama hesabına erişebilmesi için yapılandırın. Belirli internet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarına yönelik trafiğe erişim verilebilir Denetim, reddetme, devre dışı 1.1.1

Sınır koruma | Erişim noktaları

Kimlik: CcCs SC-7 (3)

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Sanal makinelerin yönetim bağlantı noktaları, tam zamanında ağ erişim denetimiyle korunmalıdır Olası ağ tam zamanında (JıT) erişim, Azure Güvenlik Merkezi tarafından öneriler olarak izlenir Auditınotexists, devre dışı 3.0.0

Sınır koruma | Dış telekomünikasyon hizmetleri

Kimlik: CcCs SC-7 (4)

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Sanal makinelerin yönetim bağlantı noktaları, tam zamanında ağ erişim denetimiyle korunmalıdır Olası ağ tam zamanında (JıT) erişim, Azure Güvenlik Merkezi tarafından öneriler olarak izlenir Auditınotexists, devre dışı 3.0.0

İletim gizliliği ve bütünlüğü | Şifreleme veya alternatif fiziksel koruma

Kimlik: CcCs SC-8 (1)

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
API uygulaması yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, sunucu/hizmet kimlik doğrulamasını sağlar ve ağ katmanı gizlice dinleme saldırılarına karşı geçiş sırasında verileri korur. Denetim, devre dışı 1.0.0
İşlev Uygulaması yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, sunucu/hizmet kimlik doğrulamasını sağlar ve ağ katmanı gizlice dinleme saldırılarına karşı geçiş sırasında verileri korur. Denetim, devre dışı 1.0.0
Redsıs için yalnızca Azure önbelleğinize güvenli bağlantılar etkinleştirilmelidir Redsıs için yalnızca SSL ile SSL aracılığıyla bağlantıların etkinleştirilmesini denetleme. Güvenli bağlantı kullanımı, sunucu ve hizmet arasında kimlik doğrulaması sağlar ve geçiş sırasında ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarına karşı verileri korur Denetim, reddetme, devre dışı 1.0.0
Depolama hesaplarına güvenli aktarım etkinleştirilmelidir Depolama hesabınızda güvenli aktarım gereksinimini denetleyin. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) istekleri kabul edecek şekilde zorlayan bir seçenektir. HTTPS kullanımı, sunucu ile hizmet arasında kimlik doğrulaması sağlar ve geçiş sırasında ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarına karşı verileri korur Denetim, reddetme, devre dışı 2.0.0
Web uygulaması yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, sunucu/hizmet kimlik doğrulamasını sağlar ve ağ katmanı gizlice dinleme saldırılarına karşı geçiş sırasında verileri korur. Denetim, devre dışı 1.0.0
Windows web sunucularının güvenli iletişim protokollerini kullanacak şekilde yapılandırılması gerekir Internet üzerinden iletilen bilgilerin gizliliğini korumak için web sunucularınız, sektör standardı şifreleme protokolü 'nün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasında bir bağlantıyı şifrelemek için güvenlik sertifikalarını kullanarak bir ağ üzerinden iletişimin güvenliğini sağlar. Auditınotexists, devre dışı 3.0.0

Bekleyen bilgilerin korunması

Kimlik: CcCs SC-28

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Azure Defender için SQL korumasız Azure depolama sunucuları için SQL gerekir Gelişmiş SQL olmadan sunucuları denetleme AuditIfNotExists, Disabled 2.0.1
Azure Defender için SQL, Korumasız Yönetilen Örneklerde SQL etkinleştirilmelidir Her yönetilen SQL gelişmiş veri güvenliği olmadan denetleme. AuditIfNotExists, Disabled 1.0.2
Saydam Veri Şifrelemesi veritabanlarında SQL etkinleştirilmelidir Beklemede olan verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifrelemesi etkinleştirilmelidir AuditIfNotExists, Disabled 2.0.0
Sanal makineler, İşlem ile sanal makine kaynakları arasında geçici diskleri, önbellekleri ve veri Depolama şifrelemeli Disk şifrelemesi etkin olmayan sanal makineler, öneri olarak Azure Güvenlik Merkezi tarafından izlenir. AuditIfNotExists, Disabled 2.0.1

Sistem ve Bilgi Bütünlüğü

Kusur Düzeltmesi

Kimlik: CCCS SI-2

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
SQL veritabanlarında güvenlik açığı bulguları çözümlenmiş olmalıdır Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleme. AuditIfNotExists, Disabled 4.0.0
Sanal makine ölçek kümelerinin sistem güncelleştirmelerinin yüklü olması gerekir Sanal makinelerinizin ve Linux sanal makine ölçek kümelerinin güvenli olduğundan emin olmak için yüklü olması gereken eksik sistem güvenlik güncelleştirmeleri ve kritik Windows güncelleştirmeler olup olmadığını kontrol edin. AuditIfNotExists, Disabled 3.0.0
Makinelerinize sistem güncelleştirmeleri yüklenmelidir Sunucularınız üzerinde eksik güvenlik sistemi güncelleştirmeleri öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Disabled 4.0.0
Makinelerinizin güvenlik yapılandırmasında güvenlik açıkları düzeltildi Yapılandırılan taban çizgisini karşılamamış sunucular, öneriler olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Disabled 3.0.0
Sanal makine ölçek kümeleriniz üzerinde güvenlik yapılandırmasında güvenlik açıkları düzeltildi Sanal makine ölçek kümelerinizi saldırılara karşı korumak için işletim sistemi güvenlik açıklarını denetleme. AuditIfNotExists, Disabled 3.0.0

Kötü Amaçlı Kod Koruması

Kimlik: CCCS SI-3

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Uç nokta koruma çözümünün sanal makine ölçek kümelere yüklenmiş olması gerekir Sanal makinelerinizin ölçek kümelerinin tehditlere ve güvenlik açıklarına karşı korunması için bir uç nokta koruma çözümünün varlığını ve sistem durumunu denetleme. AuditIfNotExists, Disabled 3.0.0
Azure Güvenlik Merkezi'Endpoint Protection eksik Azure Güvenlik Merkezi Yüklü bir Endpoint Protection aracısı olmayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Disabled 3.0.0

Kötü Amaçlı Kod Koruması | Merkezi Yönetim

Kimlik: CCCS SI-3(1)

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Uç nokta koruma çözümünün sanal makine ölçek kümelere yüklenmiş olması gerekir Sanal makinelerinizin ölçek kümelerinin tehditlere ve güvenlik açıklarına karşı korunması için bir uç nokta koruma çözümünün varlığını ve sistem durumunu denetleme. AuditIfNotExists, Disabled 3.0.0
Azure Güvenlik Merkezi'Endpoint Protection eksik Azure Güvenlik Merkezi Yüklü bir Endpoint Protection aracısı olmayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Disabled 3.0.0

Bilgi Sistemi İzleme

Kimlik: CCCS SI-4

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Azure Defender için SQL korumasız Azure depolama sunucuları için SQL gerekir Gelişmiş SQL olmadan sunucuları denetleme AuditIfNotExists, Disabled 2.0.1
Azure Defender için SQL, Korumasız Yönetilen Örneklerde SQL etkinleştirilmelidir Her yönetilen SQL gelişmiş veri güvenliği olmadan denetleme. AuditIfNotExists, Disabled 1.0.2
Listelenen sanal makine görüntüleri için Log Analytics Aracısı etkinleştirilmelidir Sanal makine görüntüsü tanımlı listede yoksa ve aracı yüklü değilse sanal makineleri uyumlu değil olarak raporlar. AuditIfNotExists, Disabled 2.0.0-önizleme
Listelenen sanal makine görüntüleri için sanal makine ölçek kümelerde Log Analytics aracısı etkinleştirilmelidir Sanal makine görüntüsü tanımlı listede yoksa ve aracı yüklenmezse, sanal makine ölçek kümelerini uyumlu değil olarak raporlar. AuditIfNotExists, Disabled 2.0.0
Sanal makinelerin belirtilen çalışma alanına bağlı olması gerekir İlke/girişim atamasında belirtilen Log Analytics çalışma alanında günlüğe kaydetmeyen sanal makineleri uyumlu değil olarak raporlar. AuditIfNotExists, Disabled 1.1.0

Sonraki adımlar

Uygulama hakkında ek Azure İlkesi: