Fedrahlik özellikli mevzuata uyumluluğu yerleşik girişiminin ayrıntıları

Aşağıdaki makalede Azure Ilke mevzuatı uyumluluğu yerleşik girişim tanımının, Fedraorta 'teki Uyumluluk etki alanları ve denetimleriyle nasıl eşleştiği açıklanır. Bu uyumluluk standardı hakkında daha fazla bilgi için bkz. Fedraorta. Sahipliği anlamak için bkz. Azure ilke ilkesi tanımı ve bulutta paylaşılan sorumluluk.

Aşağıdaki eşlemeler Fedrata orta denetimlerine sahiptir. Doğrudan belirli bir Uyumluluk etki alanına geçmek için sağ taraftaki gezintiyi kullanın. Denetimlerin birçoğu bir Azure Policy Initiative tanımıyla uygulanır. Tüm girişim tanımını gözden geçirmek için Azure portal ilkeyi açın ve tanımlar sayfasını seçin. Ardından, Fedgram orta düzey mevzuata uyumluluğu yerleşik girişim tanımını bulun ve seçin.

Önemli

Aşağıdaki her denetim bir veya daha fazla Azure ilke tanımı ile ilişkilidir. Bu ilkeler, denetimiyle uyumluluğu değerlendirmenize yardımcı olabilir; Ancak, bir denetim ile bir veya daha fazla ilke arasında genellikle bire bir veya tam eşleşme yoktur. Bu nedenle, Azure Ilkesiyle uyumlu yalnızca ilke tanımlarının kendilerine başvurur; Bu, bir denetimin tüm gereksinimleriyle tamamen uyumlu olduğunuzdan emin değildir. Buna ek olarak, uyumluluk standardı şu anda herhangi bir Azure Ilke tanımı tarafından açıklanmayan denetimler içerir. Bu nedenle, Azure Ilkesinde uyumluluk, genel uyumluluk durumunuzu yalnızca kısmi görünümüdür. Bu uyumluluk standardı için uyumluluk etki alanları, denetimler ve Azure Ilke tanımları arasındaki ilişkilendirmeler zaman içinde değişebilir. değişiklik geçmişini görüntülemek için GitHub tamamlama geçmişinebakın.

Erişim Denetimi

Hesap Yönetimi

Kimlik: fedrampa orta AC-2

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Aboneliğiniz için en fazla 3 sahip belirtilmelidir Güvenliği aşılmış bir sahibe göre ihlal olasılığını azaltmak için 3 adede kadar abonelik sahibi belirlemeniz önerilir. Auditınotexists, devre dışı 3.0.0
SQL sunucuları için Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Azure Active Directory yöneticisinin sağlamasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcıları ve diğer Microsoft hizmetleri için basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi imkanı sunar Auditınotexists, devre dışı 1.0.0
Özel RBAC kurallarının kullanımını denetleme Hataya açık olan özel RBAC rolleri yerine ' Owner, katılımcısı, Reader ' gibi yerleşik rolleri denetleyin. Özel rolleri kullanmak özel durum olarak değerlendirilir ve kapsamlı bir inceleme ve tehdit modelleme gerektirir Denetim, devre dışı 1.0.0
Bilişsel hizmetler hesapları yerel kimlik doğrulama yöntemlerinin devre dışı olması gerekir yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, bilişsel hizmetler hesaplarının kimlik doğrulama için Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği iyileştirir. Daha fazla bilgi: https://aka.ms/cs/auth . Denetim, reddetme, devre dışı 1.0.0
Kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açma işleminden engellenen hesaplardır. Auditınotexists, devre dışı 3.0.0
Sahip izinleri olan kullanım dışı hesaplar aboneliğinizden kaldırılmalıdır Sahip izinleri olan kullanım dışı hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açma işleminden engellenen hesaplardır. Auditınotexists, devre dışı 3.0.0
Sahip izinleri olan dış hesaplar aboneliğinizden kaldırılmalıdır İzlenmeyen erişimi engellemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. Auditınotexists, devre dışı 3.0.0
Okuma izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir İzlenmeyen erişimi engellemek için, okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. Auditınotexists, devre dışı 3.0.0
Yazma izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir İzlenmeyen erişimi engellemek için, yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. Auditınotexists, devre dışı 3.0.0
Yönetilen kimlik API uygulamanızda kullanılmalıdır Gelişmiş kimlik doğrulama güvenliği için yönetilen kimlik kullanma Auditınotexists, devre dışı 2.0.0
Yönetilen kimlik İşlev Uygulaması kullanılmalıdır Gelişmiş kimlik doğrulama güvenliği için yönetilen kimlik kullanma Auditınotexists, devre dışı 2.0.0
Yönetilen kimliğin Web uygulamanızda kullanılması gerekir Gelişmiş kimlik doğrulama güvenliği için yönetilen kimlik kullanma Auditınotexists, devre dışı 2.0.0
Service Fabric kümeler yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır istemci kimlik doğrulamasının kullanımını yalnızca Service Fabric Azure Active Directory aracılığıyla denetle Denetim, reddetme, devre dışı 1.1.0

Otomatik sistem hesabı yönetimi

Kimlik: fedrampa orta AC-2 (1)

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
SQL sunucuları için Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Azure Active Directory yöneticisinin sağlamasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcıları ve diğer Microsoft hizmetleri için basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi imkanı sunar Auditınotexists, devre dışı 1.0.0
Bilişsel hizmetler hesapları yerel kimlik doğrulama yöntemlerinin devre dışı olması gerekir yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, bilişsel hizmetler hesaplarının kimlik doğrulama için Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği iyileştirir. Daha fazla bilgi için: https://aka.ms/cs/auth . Denetim, Reddet, Devre Dışı 1.0.0
Service Fabric kümeler istemci kimlik doğrulaması için Azure Active Directory kimlik doğrulamasını kullan olmalıdır İstemci kimlik doğrulamasının kullanımını yalnızca Azure Active Directory Service Fabric Denetim, Reddet, Devre Dışı 1.1.0

Rol Tabanlı Şemalar

Kimlik: FedRAMP Orta AC-2 (7)

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Azure Active Directory için bir yönetici sağ SQL gerekir Azure AD kimlik doğrulamasını etkinleştirmek Azure Active Directory için SQL bir yöneticinin sağlamasını denetleme. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer kullanıcıların basitleştirilmiş izin yönetimine ve merkezi kimlik yönetimine olanak Microsoft hizmetleri AuditIfNotExists, Disabled 1.0.0
Özel RBAC kurallarının kullanımını denetleme Hataya neden olan özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanımı özel durum olarak kabul edilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir Denetim, Devre Dışı 1.0.0
Bilişsel Hizmetler hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmıştır Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Bilişsel Hizmetler hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği iyiler. Daha fazla bilgi için: https://aka.ms/cs/auth . Denetim, Reddet, Devre Dışı 1.0.0
Service Fabric kümeler istemci kimlik doğrulaması için Azure Active Directory kimlik doğrulamasını kullan olmalıdır İstemci kimlik doğrulamasının kullanımını yalnızca Azure Active Directory Service Fabric Denetim, Reddet, Devre Dışı 1.1.0
Yönetim sertifikaları yerine aboneliklerinizi korumak için hizmet sorumluları kullanılmalıdır Yönetim sertifikaları, kimlik doğrulaması yapan herkesin ilişkili olduğu abonelikleri yönetmesine olanak sağlar. Abonelikleri daha güvenli bir şekilde yönetmek için sertifika güvenliğinin Resource Manager hizmet sorumlularının kullanılması önerilir. AuditIfNotExists, Disabled 1.0.0

Hesap İzleme / Atipik Kullanım

Kimlik: FedRAMP Orta AC-2 (12)

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Azure Arc Kubernetes kümelerde Azure Defender uzantısı yüklü olmalıdır Azure Defender için uzantı Azure Arc Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki düğümlerden verileri toplar ve daha fazla analiz Kubernetes için Azure Defender için bulut arka ucuna gönderir. daha fazla bilgi için: https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc . AuditIfNotExists, Disabled 3.0.0-önizleme
Azure Defender için App Service etkinleştirilmelidir Azure Defender için App Service, yaygın web uygulaması saldırılarını izlemek için bulutun ölçeğini ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüğü kullanır. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Azure SQL Veritabanı etkinleştirilmelidir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltmaya, SQL veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevsellik sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender kayıt defterleri için kayıt defterleri etkinleştirilmelidir Azure Defender kayıt defterleri için güvenlik açığı taraması, son 30 gün içinde çekilen, kayıt defterinize aktarılan veya içeri aktarılan tüm görüntülerin güvenlik açığı taraması sağlar ve görüntü başına ayrıntılı bulguları ortaya çıkarır. AuditIfNotExists, Disabled 1.0.3
Azure Defender DNS için yapılandırma etkinleştirilmelidir Azure Defender, Azure kaynaklarından gelen tüm DNS sorgularını sürekli olarak izerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender DNS katmanında şüpheli etkinlik hakkında sizi uyarıyor. DNS için ağ bağlantılarının özellikleri hakkında daha Azure Defender için https://aka.ms/defender-for-dns bkz. . Bu Azure Defender etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0-önizleme
Azure Defender için Key Vault etkinleştirilmelidir Azure Defender için Key Vault, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayan ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Disabled 1.0.3
Kubernetes için Azure Defender etkinleştirilmelidir Kubernetes için Azure Defender kapsayıcılı ortamlar için gerçek zamanlı tehdit koruması sağlar ve şüpheli etkinlikler için uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Resource Manager etkinleştirilmelidir Azure Defender, Resource Manager kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarıyor. Uygulamanın özellikleri hakkında daha fazla bilgi Azure Defender için https://aka.ms/defender-for-resource-manager Resource Manager. Bu Azure Defender etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender için yapılandırma etkinleştirilmelidir Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve hem sağlamlaştırma önerileri hem de şüpheli etkinliklerle ilgili uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender makinelerde SQL sunucuların etkinleştirilmesi gerekir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltmaya, SQL veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevsellik sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender için SQL, Korumasız Yönetilen Örneklerde SQL etkinleştirilmelidir Gelişmiş veri SQL yönetilen örneklerin her biri denetlenebilir. AuditIfNotExists, Disabled 1.0.2
Depolama için Azure Defender etkinleştirilmelidir Depolama için Azure Defender, depolama hesaplarına erişmeye veya açıktan yararlanmaya yönelik olağan dışı ve istenmeyebilecek denemelere yönelik algılamalar sağlar. Auditınotexists, devre dışı 1.0.3
Sanal makinelerin yönetim bağlantı noktaları, tam zamanında ağ erişim denetimiyle korunmalıdır Olası ağ tam zamanında (JıT) erişim, Azure Güvenlik Merkezi tarafından öneriler olarak izlenir Auditınotexists, devre dışı 3.0.0

Erişim zorlaması

Kimlik: fedram orta AC-3

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Kimliği olmayan sanal makinelerde Konuk yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik Ekle Bu ilke, Azure 'da barındırılan, Konuk yapılandırması tarafından desteklenen ancak herhangi bir yönetilen kimliği bulunmayan sanal makinelere sistem tarafından atanan yönetilen bir kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm konuk yapılandırma atamaları için bir önkoşuldur ve herhangi bir konuk yapılandırma ilkesi tanımı kullanılmadan önce makinelere eklenmelidir. Konuk yapılandırması hakkında daha fazla bilgi için, adresini ziyaret edin https://aka.ms/gcpol . değiştir 1.0.0
Kullanıcı tarafından atanan bir kimliğe sahip VM 'lerde Konuk yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik Ekle Bu ilke, Azure 'da barındırılan sanal makinelere, Konuk yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip ancak sistem tarafından atanan bir yönetilen kimliğe sahip olmayan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm konuk yapılandırma atamaları için bir önkoşuldur ve herhangi bir konuk yapılandırma ilkesi tanımı kullanılmadan önce makinelere eklenmelidir. Konuk yapılandırması hakkında daha fazla bilgi için, adresini ziyaret edin https://aka.ms/gcpol . değiştir 1.0.0
SQL sunucuları için Azure Active Directory yöneticisi sağlanmalıdır Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Azure Active Directory yöneticisinin sağlamasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcıları ve diğer Microsoft hizmetleri için basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi imkanı sunar Auditınotexists, devre dışı 1.0.0
Parolası olmayan hesaplara sahip Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için, adresini ziyaret edin https://aka.ms/gcpol . Parolaları olmayan hesaplara sahip Linux makinelerinde makineler uyumlu değildir Auditınotexists, devre dışı 1.0.0
Linux makinelerinde kimlik doğrulaması için SSH anahtarları gerekir SSH 'in kendisi şifreli bir bağlantı sağlamasına karşın, SSH ile parolaların kullanılması, VM 'yi deneme yanılma saldırılarına karşı savunmasız bırakır. SSH üzerinden bir Azure Linux sanal makinesinde kimlik doğrulama için en güvenli seçenek, SSH anahtarları olarak da bilinen ortak özel anahtar çiftidir. Daha fazla bilgi: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed . Auditınotexists, devre dışı 2.0.1
Bilişsel hizmetler hesapları yerel kimlik doğrulama yöntemlerinin devre dışı olması gerekir yerel kimlik doğrulama yöntemlerinin devre dışı bırakılması, bilişsel hizmetler hesaplarının kimlik doğrulama için Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği iyileştirir. Daha fazla bilgi: https://aka.ms/cs/auth . Denetim, reddetme, devre dışı 1.0.0
Linux VM 'lerinde Konuk yapılandırma atamalarını etkinleştirmek için Linux konuk yapılandırma uzantısını dağıtma Bu ilke, Linux konuk yapılandırma uzantısını Azure 'da barındırılan ve konuk yapılandırması tarafından desteklenen Linux sanal makinelerine dağıtır. Linux konuk yapılandırma uzantısı, tüm Linux konuk yapılandırma atamaları için bir önkoşuldur ve herhangi bir Linux konuk yapılandırma ilkesi tanımı kullanılmadan önce makinelere dağıtılması gerekir. Konuk yapılandırması hakkında daha fazla bilgi için, adresini ziyaret edin https://aka.ms/gcpol . deployIfNotExists 1.0.1
Yönetilen kimlik API uygulamanızda kullanılmalıdır Gelişmiş kimlik doğrulama güvenliği için yönetilen kimlik kullanma Auditınotexists, devre dışı 2.0.0
Yönetilen kimlik İşlev Uygulaması kullanılmalıdır Gelişmiş kimlik doğrulama güvenliği için yönetilen kimlik kullanma Auditınotexists, devre dışı 2.0.0
Yönetilen kimliğin Web uygulamanızda kullanılması gerekir Gelişmiş kimlik doğrulama güvenliği için yönetilen kimlik kullanma Auditınotexists, devre dışı 2.0.0
Aboneliğinizde yazma izinleri olan hesaplarda MFA etkinleştirilmelidir Hesapların veya kaynakların ihlal oluşmasını engellemek için yazma ayrıcalıklarına sahip tüm abonelik hesapları için Multi-Factor Authentication (MFA) etkinleştirilmelidir. Auditınotexists, devre dışı 3.0.0
MFA, aboneliğinizde sahip izinleri olan hesaplarda etkinleştirilmelidir Multi-Factor Authentication (MFA), hesapların veya kaynakların ihlaline engel olmak için sahip izinleri olan tüm abonelik hesapları için etkinleştirilmelidir. Auditınotexists, devre dışı 3.0.0
MFA, aboneliğinizde okuma izinleri olan hesaplarda etkinleştirilmelidir Hesapların veya kaynakların ihlal oluşmasını engellemek için okuma ayrıcalıklarına sahip tüm abonelik hesapları için Multi-Factor Authentication (MFA) etkinleştirilmelidir. Auditınotexists, devre dışı 3.0.0
Service Fabric kümeler yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır istemci kimlik doğrulamasının kullanımını yalnızca Service Fabric Azure Active Directory aracılığıyla denetle Denetim, reddetme, devre dışı 1.1.0
Depolama hesapların yeni Azure Resource Manager kaynaklara geçirilmesi gerekir Depolama hesaplarınız için yeni Azure Resource Manager kullanarak: daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli dizi için anahtar kasasına erişme, gizlilikler için anahtar kasası ve Etiketler ve kaynak grupları için daha kolay güvenlik yönetimi sağlayan destek Denetim, reddetme, devre dışı 1.0.0
Sanal makinelerin yeni Azure Resource Manager kaynaklara geçirilmesi gerekir Sanal makinelerinize yönelik yeni Azure Resource Manager kullanarak: daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli dizi için anahtar kasasına erişme, parolaların ve kaynak grupları için Azure AD tabanlı kimlik doğrulama ve destek daha kolay güvenlik yönetimi sağlar Denetim, reddetme, devre dışı 1.0.0

Flow zorlama bilgileri

Kimlik: fedrampa orta AC-4

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Uyarlamalı ağ sağlamlaştırma önerileri internet 'e yönelik sanal makinelere uygulanmalıdır Azure Güvenlik Merkezi, Internet 'e yönelik sanal makinelerin trafik düzenlerini analiz eder ve olası saldırı yüzeyini azaltan ağ güvenlik grubu kuralı önerileri sağlar Auditınotexists, devre dışı 3.0.0
Tüm Internet trafiği, dağıtılan Azure Güvenlik duvarınız aracılığıyla yönlendirilmelidir Azure Güvenlik Merkezi, bazı alt ağlarınızın bir sonraki nesil güvenlik duvarı ile korunmuyor olduğunu belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarı ile erişimi kısıtlayarak alt ağlarınızı olası tehditlere karşı koruyun Auditınotexists, devre dışı 3.0.0-Önizleme
Tüm ağ bağlantı noktaları, sanal makineniz ile ilişkili ağ güvenlik gruplarında sınırlandırılmalıdır Azure Güvenlik Merkezi, bazı ağ güvenlik gruplarınızı gelen kurallarınızı çok fazla izin verecek şekilde tanımladı. Gelen kurallar ' any ' veya ' Internet ' aralıklarından erişime izin vermez. Bu, saldırganların kaynaklarınızı hedeflemesini sağlayabilir. Auditınotexists, devre dışı 3.0.0
API Management hizmetler bir sanal ağ kullanmalıdır Azure sanal ağ dağıtımı, gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz internet 'e yönlendirilebilen bir ağa yerleştirmenizi sağlar. Bu ağlar daha sonra çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir ve bu da ağ içinde ve/veya şirket içi hizmetlerinize erişim sağlar. Geliştirici portalı ve API ağ geçidi, Internet 'ten ya da yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. Denetim, devre dışı 1.0.1
Uygulama yapılandırması özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinizdeki eşleştirerek, veri sızıntısı risklerine karşı de korunacaktır. Daha fazla bilgi: https://aka.ms/appconfig/private-endpoint . Auditınotexists, devre dışı 1.0.2
Yetkili IP aralıkları, Kubernetes hizmetlerinde tanımlanmalıdır Yalnızca belirli aralıklardaki IP adreslerine API erişimi vererek Kubernetes Hizmet Yönetim API'si erişimi kısıtlayın. Yalnızca izin verilen ağların içindeki uygulamaların kümeye erişebildiğinden emin olmak için yetkilendirilmiş IP aralıklarına erişimi sınırlandırmamak önerilir. Denetim, devre dışı 2.0.1
FHıR için Azure API 'SI özel bağlantı kullanmalıdır FHIR için Azure API 'SI, en az bir onaylanan özel uç nokta bağlantısına sahip olmalıdır. Bir sanal ağdaki istemciler özel bağlantı noktası bağlantılarına sahip kaynaklara güvenli şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink . Denetim, devre dışı 1.0.0
Redsıs için Azure önbelleği özel bağlantı kullanmalıdır Özel uç noktalar, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redsıs örnekleri için Azure önbelleğinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link . Auditınotexists, devre dışı 1.0.0
Azure Bilişsel Arama hizmeti, özel bağlantıyı destekleyen bir SKU kullanmalıdır Desteklenen Azure Bilişsel Arama SKU 'Larında, Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları arama hizmetinize eşleyerek, veri sızıntısı riskleri azalır. Daha fazla bilgi: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Denetim, reddetme, devre dışı 1.0.0
Azure Bilişsel Arama Hizmetleri ortak ağ erişimini devre dışı bırakmalıdır Ortak ağ erişiminin devre dışı bırakılması, Azure Bilişsel Arama hizmetinizin genel İnternet 'te açık olmamasını sağlayarak güvenliği geliştirir. Özel uç noktalar oluşturma, arama hizmetinizin görünürlüğünü sınırlayabilir. Daha fazla bilgi: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Denetim, reddetme, devre dışı 1.0.0
Azure Bilişsel Arama Hizmetleri özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Denetim, devre dışı 1.0.0
Azure Cosmos DB hesapların güvenlik duvarı kuralları olmalıdır yetkisiz kaynaklardan gelen trafiği engellemek için güvenlik duvarı kuralları Azure Cosmos DB hesaplarınız üzerinde tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralına sahip hesaplara uyumlu olduğu kabul edilir. Ortak erişimi devre dışı bırakan hesaplar da uyumlu olarak kabul edilir. Denetim, reddetme, devre dışı 2.0.0
Azure Data Factory özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/data-factory/data-factory-private-link . Auditınotexists, devre dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine Event Grid etki alanına eşleyerek, veri sızıntısı risklerine karşı de korunacaktır. Daha fazla bilgi: https://aka.ms/privateendpoints . Denetim, devre dışı 1.0.2
Azure Event Grid konular özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine Event Grid konu başlığında eşleyerek veri sızıntısı risklerine karşı de korunacaktır. Daha fazla bilgi: https://aka.ms/privateendpoints . Denetim, devre dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır belirtilen Depolama eşitleme hizmeti kaynağı için özel bir uç nokta oluşturulması, internet erişimli ortak uç nokta yerine kuruluşunuzun ağının özel ıp adresi alanından Depolama eşitleme hizmeti kaynağınızı adresetmenize olanak tanır. Özel bir uç noktanın kendi başına oluşturulması, genel uç noktayı devre dışı bırakmaz. Auditınotexists, devre dışı 1.0.0
Azure Key Vault ortak ağ erişimini devre dışı bırakmalıdır Ortak internet üzerinden erişilememesi için anahtar kasanıza yönelik genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı riskini azaltabilir. Daha fazla bilgi: https://aka.ms/akvprivatelink . Denetim, reddetme, devre dışı 2.0.0-Önizleme
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link . Denetim, reddetme, devre dışı 1.1.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. özel uç noktaları Service Bus ad alanlarına eşleyerek, veri sızıntısı riskleri azalır. Daha fazla bilgi: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service . Auditınotexists, devre dışı 1.0.0
Azure SignalR hizmeti özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine Azure SignalR hizmeti kaynağına eşleyerek, veri sızıntısı risklerinizi azaltabilirsiniz. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://aka.ms/asrs/privatelink . Denetim, reddetme, devre dışı 1.0.1
Azure SYNAPSE çalışma alanları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure SYNAPSE çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links . Denetim, devre dışı 1.0.1
Azure Web PubSub hizmeti özel bağlantı kullanmalıdır Azure özel bağlantısı, sanal ağlarınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub hizmetinize eşleyerek, veri sızıntısı risklerini azaltabilirsiniz. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://aka.ms/awps/privatelink . Denetim, reddetme, devre dışı 1.0.0
Bilişsel hizmetler hesapları ortak ağ erişimini devre dışı bırakmalıdır Ortak ağ erişiminin devre dışı bırakılması, bilişsel hizmetler hesabının genel İnternet 'te açık olmamasını sağlayarak güvenliği iyileştirir. Özel uç noktalar oluşturmak bilişsel hizmetler hesabının görünürlüğünü sınırlayabilir. Daha fazla bilgi: https://go.microsoft.com/fwlink/?linkid=2129800 . Denetim, reddetme, devre dışı 2.0.0
Bilişsel hizmetler hesapları ağ erişimini kısıtlamalı Bilişsel hizmetler hesaplarına ağ erişimi kısıtlanmalıdır. Ağ kurallarını, yalnızca izin verilen ağların uygulamalarının bilişsel hizmetler hesabına erişebileceği şekilde yapılandırın. Belirli internet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarına yönelik trafiğe erişim verilebilir. Denetim, reddetme, devre dışı 2.0.0
Bilişsel hizmetler özel bağlantı kullanmalıdır Azure özel bağlantısı, sanal ağlarınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları bilişsel hizmetler 'e eşleyerek veri sızıntısı potansiyelini azaltabilirsiniz. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://go.microsoft.com/fwlink/?linkid=2129800 . Denetim, devre dışı 2.0.0
Kapsayıcı kayıt defterleri Kısıtlanmamış ağ erişimine izin vermiyor Azure Container Registry, varsayılan olarak herhangi bir ağdaki konaklardan internet üzerinden bağlantıları kabul eder. Kayıt defterlerinden olası tehditlere karşı korumak için yalnızca belirli ortak IP adreslerinden veya adres aralıklarından erişime izin verin. Kayıt defterinizde bir IP/güvenlik duvarı kuralı veya yapılandırılmış bir sanal ağ yoksa, sistem sağlıksız kaynaklarda görünür. Container Registry ağ kuralları hakkında daha fazla bilgi edinin: https://aka.ms/acr/portal/public-network ve burada https://aka.ms/acr/vnet . Denetim, reddetme, devre dışı 1.1.0
Kapsayıcı kayıt defterleri özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine kapsayıcı kayıt defterlerine eşleyerek, veri sızıntısı risklerine karşı de korunacaktır. Daha fazla bilgi: https://aka.ms/acr/private-link . Denetim, devre dışı 1.0.1
CORS, her kaynağın Web Uygulamalarınıza erişmesine izin vermemelidir Çıkış noktaları arası kaynak paylaşımı (CORS), tüm etki alanlarının Web uygulamanıza erişmesine izin vermemelidir. Yalnızca gerekli etki alanlarının Web uygulamanızla etkileşime girmesine izin verin. Auditınotexists, devre dışı 1.0.0
CosmosDB hesaplarının özel bağlantı kullanması gerekir Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları CosmosDB hesabınıza eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints . Denetim, devre dışı 1.0.0
Disk erişim kaynakları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Diskeriþlerine eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://aka.ms/disksprivatelinksdoc . Auditınotexists, devre dışı 1.0.0
Olay Hub 'ı ad alanları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Olay Hub 'ı ad alanlarına eşleyerek, veri sızıntısı riskleri azalır. Daha fazla bilgi: https://docs.microsoft.com/azure/event-hubs/private-link-service . Auditınotexists, devre dışı 1.0.0
Internet 'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik grupları (NSG) ile erişimi kısıtlayarak sanal makinelerinizi olası tehditlere karşı koruyun. NSG 'ler ile trafiği denetleme hakkında daha fazla bilgi edinin https://aka.ms/nsg-doc Auditınotexists, devre dışı 3.0.0
IoT Hub cihaz sağlama hizmeti örneklerinin özel bağlantı kullanması gerekir Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmeti ile eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://aka.ms/iotdpsvnet . Denetim, devre dışı 1.0.0
Sanal makinenizde IP Iletimi devre dışı bırakılmalıdır Bir sanal makinenin NIC 'inde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere adreslenen trafiği almasına izin verir. IP iletimi nadiren gereklidir (örneğin, VM 'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle ağ güvenlik ekibi tarafından incelenmelidir. Auditınotexists, devre dışı 3.0.0
Sanal makinelerin yönetim bağlantı noktaları, tam zamanında ağ erişim denetimiyle korunmalıdır Olası ağ tam zamanında (JıT) erişim, Azure Güvenlik Merkezi tarafından öneriler olarak izlenir Auditınotexists, devre dışı 3.0.0
Yönetim bağlantı noktaları sanal makinelerinizde kapatılmalıdır Açık Uzaktan yönetim bağlantı noktaları, sanal makinenizin Internet tabanlı saldırılardan yüksek düzeyde riske sunulmasını sağlar. Bu saldırılar, makineye yönetici erişimi kazanmak için zorlamalı kimlik bilgilerini yanılmaya çalışır. Auditınotexists, devre dışı 3.0.0
İnternet 'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik grupları (NSG) ile erişimi kısıtlayarak, internet 'e yönelik olmayan sanal makinelerinizi olası tehditlere karşı koruyun. NSG 'ler ile trafiği denetleme hakkında daha fazla bilgi edinin https://aka.ms/nsg-doc Auditınotexists, devre dışı 3.0.0
Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir özel uç nokta bağlantıları, Azure SQL Veritabanı için özel bağlantı etkinleştirerek güvenli iletişim uygular. Denetim, devre dışı 1.1.0
Key Vault için özel uç nokta yapılandırılmalıdır Özel bağlantı, genel İnternet üzerinden trafik göndermeden Key Vault Azure kaynaklarınıza bağlamak için bir yol sağlar. Özel bağlantı, veri taşmasıyla karşı derinlemesine koruma sağlar. Denetim, reddetme, devre dışı 1.1.0-Önizleme
MariaDB sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MariaDB için Azure veritabanı 'na özel bağlantı etkinleştirerek güvenli iletişim uygular. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırın. Auditınotexists, devre dışı 1.0.2
MySQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MySQL için Azure veritabanı 'na özel bağlantı etkinleştirerek güvenli iletişim uygular. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırın. Auditınotexists, devre dışı 1.0.2
PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, PostgreSQL için Azure veritabanı 'na özel bağlantı etkinleştirerek güvenli iletişim uygular. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırın. Auditınotexists, devre dışı 1.0.2
Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır ortak ağ erişimi özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebilmesini sağlayarak güvenliği geliştirir. Bu yapılandırma IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açmaları engeller. Denetim, reddetme, devre dışı 1.1.0
MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak için ortak ağ erişim özelliğini devre dışı bırakın ve MariaDB için Azure veritabanınızın yalnızca özel bir uç noktadan erişilebildiğinden emin olun. Bu yapılandırma, Azure IP aralığı dışındaki tüm ortak adres alanından erişimi tamamen devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açmaları reddeder. Denetim, devre dışı 1.0.2
MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak için ortak ağ erişim özelliğini devre dışı bırakın ve MySQL için Azure veritabanınızın yalnızca özel bir uç noktadan erişilebildiğinden emin olun. Bu yapılandırma, Azure IP aralığı dışındaki tüm ortak adres alanından erişimi tamamen devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açmaları reddeder. Denetim, devre dışı 1.0.2
PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak için ortak ağ erişim özelliğini devre dışı bırakın ve PostgreSQL için Azure veritabanınızın yalnızca özel bir uç noktadan erişilebildiğinden emin olun. Bu yapılandırma, Azure IP aralığı dışındaki tüm ortak adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açmaları reddeder. Denetim, devre dışı 1.0.2
Depolama hesabı genel erişimine izin verilmemelidir Azure Depolama içindeki kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur, ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimden kaynaklanan veri ihlallerinin oluşmasını önlemek için, Microsoft, senaryolarınız için gerekli olmadığı takdirde bir depolama hesabına genel erişimi engellemeyi önerir. Denetim, reddetme, devre dışı 3.0.1-Önizleme
Depolama hesapların ağ erişimini kısıtlanması gerekir Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Ağ kurallarını, yalnızca izin verilen ağların uygulamalarının depolama hesabına erişebilmesi için yapılandırın. Belirli internet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarına yönelik trafiğe erişim verilebilir Denetim, reddetme, devre dışı 1.1.1
Depolama hesapların sanal ağ kurallarını kullanarak ağ erişimini kısıtlanması gerekir Sanal ağ kurallarını kullanarak, IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak depolama hesaplarınızı olası tehditlere karşı koruyun. IP tabanlı filtrelemenin devre dışı bırakılması, genel IP 'Lerin depolama hesaplarınıza erişmesini önler. Denetim, reddetme, devre dışı 1.0.1
Depolama hesapların özel bağlantı kullanması gerekir Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek, veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi edinin https://aka.ms/azureprivatelinkoverview Auditınotexists, devre dışı 2.0.0
Alt ağlar bir ağ güvenlik grubuyla ilişkilendirilmelidir Ağ güvenlik grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlere karşı koruyun. NSG 'ler, alt ağınıza ağ trafiğine izin veren veya reddeden Access Control listesi (ACL) kurallarının bir listesini içerir. Auditınotexists, devre dışı 3.0.0
VM Görüntü Oluşturucu şablonlarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet . Denetim, Devre Dışı, Reddet 1.1.0

Görev ayrımı

Kimlik: FedRAMP Orta AC-5

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Aboneliğinize atanmış birden fazla sahip olması gerekir Yönetici erişimi yedekliliği için birden fazla abonelik sahibi atamanız önerilir. AuditIfNotExists, Disabled 3.0.0

En Az Ayrıcalık

Kimlik: FedRAMP Orta AC-6

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Aboneliğiniz için en fazla 3 sahip atanmalıdır Güvenliği aşılmış bir sahibin ihlal riskini azaltmak için en fazla 3 abonelik sahibi atamanız önerilir. AuditIfNotExists, Disabled 3.0.0
Özel RBAC kurallarının kullanımını denetleme Hataya neden olan özel RBAC rolleri yerine 'Sahip, Katkıda Bulunan, Okuyucu' gibi yerleşik rolleri denetleme. Özel rollerin kullanımı özel durum olarak kabul edilir ve sıkı bir inceleme ve tehdit modellemesi gerektirir Denetim, Devre Dışı 1.0.0

Uzaktan Erişim

Kimlik: FedRAMP Orta AC-17

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Kimlikleri olmayan sanal makinelerde Konuk Yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılamadan önce makinelere eklenmiştir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. değiştir 1.0.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılamadan önce makinelere eklenmiştir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. değiştir 1.0.0
Uygulama Yapılandırması özel bağlantı kullanlı Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları hizmetin tamamı yerine uygulama yapılandırma örneklerinize eşleerek veri sızıntısı risklerine karşı da koruma altına alırnız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint . AuditIfNotExists, Disabled 1.0.2
Parola olmadan hesaplardan uzak bağlantılara izin verecek Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Linux makineleri parolasız hesaplardan uzak bağlantılara izin verdiyseniz makineler uyumlu değildir AuditIfNotExists, Disabled 1.0.0
FHIR için Azure API özel bağlantı kullan FHIR için Azure API en az bir onaylı özel uç nokta bağlantısı olmalıdır. Bir sanal ağ içinde istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilirsiniz. Daha fazla bilgi için şu ziyareti ziyaret edin: https://aka.ms/fhir-privatelink . Denetim, Devre Dışı 1.0.0
Redis için Azure Cache sanal ağ içinde yer ala Azure Sanal Ağ dağıtımı, erişimi daha fazla kısıtlamak için Redis için Azure Cache alt ağların, erişim denetimi ilkelerinin ve diğer özelliklerin yanı sıra sanal makineleriniz için gelişmiş güvenlik ve yalıtım sağlar. Bir Redis için Azure Cache sanal ağ ile yapılandırıldığında, genel olarak adreslenebilir değildir ve yalnızca sanal ağ içindeki sanal makinelerden ve uygulamalardan erişilebilir. Denetim, Reddet, Devre Dışı 1.0.3
Redis için Azure Cache özel bağlantı kullan Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel uç noktaları uygulama örneklerinize Redis için Azure Cache veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link . AuditIfNotExists, Disabled 1.0.0
Azure Bilişsel Arama hizmetinin özel bağlantıyı destekleyen bir SKU kullanması gerekir Azure Bilişsel Arama'nin desteklenen SKUS'ları Azure Özel Bağlantı, sanal ağına kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerinize bağlanmanıza olanak sağlar. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları uygulamanıza eşle Arama hizmeti veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Denetim, Reddet, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmetleri özel bağlantı kullan Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları veri Azure Bilişsel Arama veri sızıntısı riskleri azaltıldı. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Denetim, Devre Dışı 1.0.0
Azure Data Factory özel bağlantı kullan Azure Özel Bağlantı, kaynakta veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları veri Azure Data Factory veri sızıntısı riskleri azaltıldı. Özel bağlantılar hakkında daha fazla bilgi için: https://docs.microsoft.com/azure/data-factory/data-factory-private-link . AuditIfNotExists, Disabled 1.0.0
Azure Event Grid etki alanlarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynakta veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları hizmetin tamamı Event Grid etki alanınıza eşleerek veri sızıntısı risklerine karşı da koruma altına alırnız. Daha fazla bilgi için: https://aka.ms/privateendpoints . Denetim, Devre Dışı 1.0.2
Azure Event Grid konu başlıkları özel bağlantı kullanlı Azure Özel Bağlantı, kaynakta veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları hizmetin tamamı Event Grid konu başlığınıza eşleerek veri sızıntısı risklerine karşı da koruma altına alırnız. Daha fazla bilgi için: https://aka.ms/privateendpoints . Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullan Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'e erişilebilen genel uç nokta yerine, kuruluş ağının özel IP adresi alanı içinden adresleyebilirsiniz. Özel uç noktanın tek başına oluşturulması genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Disabled 1.0.0
Azure Machine Learning çalışma alanlarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynakta veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları çalışma alanlarıyla Azure Machine Learning veri sızıntısı riskleri azaltıldı. Özel bağlantılar hakkında daha fazla bilgi için: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link . Denetim, Reddet, Devre Dışı 1.1.0
Azure Service Bus ad alanları özel bağlantı kullanacaktır Azure Özel Bağlantı, kaynakta veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları ad alanlarına Service Bus veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service . AuditIfNotExists, Disabled 1.0.0
Azure SignalR Hizmeti özel bağlantı kullan Azure Özel Bağlantı, kaynakta veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları hizmetin tamamı Azure SignalR Hizmeti kaynak kaynağınıza eşlerken veri sızıntısı risklerinizi azaltmış oluruz. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/asrs/privatelink . Denetim, Reddet, Devre Dışı 1.0.1
Azure Spring Cloud ekleme kullan Azure Spring Cloud örnekleri şu amaçlar için sanal ağ ekleme kullan olmalıdır: 1. İnternet Azure Spring Cloud den yalıtma. 2. Şirket Azure Spring Cloud veri merkezlerindeki sistemlerle veya diğer sanal ağlarda Azure hizmetiyle etkileşime geçmenizi sağlar. 3. Müşterilere ağ iletişimi için gelen ve giden ağ iletişimlerini denetleme gücü Azure Spring Cloud. Denetim, Devre Dışı, Reddet 1.0.0
Azure Synapse çalışma alanlarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynakta veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları çalışma alanıyla Azure Synapse veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links . Denetim, Devre Dışı 1.0.1
Azure Web PubSub Hizmeti özel bağlantı kullanlı Azure Özel Bağlantı sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerinize bağlamanıza olanak sağlar. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları Azure Web PubSub Hizmetinize eşleerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/awps/privatelink . Denetim, Reddet, Devre Dışı 1.0.0
Bilişsel Hizmetler özel bağlantı kullanlı Azure Özel Bağlantı sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerinize bağlamanıza olanak sağlar. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları Bilişsel Hizmetler'e eşleerek veri sızıntısı riskini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2129800 . Denetim, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri özel bağlantı kullanlı Azure Özel Bağlantı, kaynakta veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşlerken veri sızıntısı risklerine karşı da koruma altına alırnız. Daha fazla bilgi için: https://aka.ms/acr/private-link . Denetim, Devre Dışı 1.0.1
CosmosDB hesaplarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynakta veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları CosmosDB hesabınıza eşlenince veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints . Denetim, Devre Dışı 1.0.0
Linux VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma Bu ilke, Linux Konuk Yapılandırması uzantısını Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen Linux sanal makinelerine dağıtır. Linux Konuk Yapılandırması uzantısı tüm Linux Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanılarak önce makinelere dağıtılacaktır. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. deployIfNotExists 1.0.1
Sanal Windows konuk yapılandırma atamalarını etkinleştirmek için konuk Windows dağıtın Bu ilke, Windows Yapılandırması uzantısını Azure'Windows tarafından desteklenen sanal makinelere dağıtır. Konuk Windows uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir konuk konuk yapılandırması ilke tanımı Windows makinelere dağıtılabilir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. deployIfNotExists 1.0.1
Disk erişim kaynakları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Diskeriþlerine eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://aka.ms/disksprivatelinksdoc . Auditınotexists, devre dışı 1.0.0
Olay Hub 'ı ad alanları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Olay Hub 'ı ad alanlarına eşleyerek, veri sızıntısı riskleri azalır. Daha fazla bilgi: https://docs.microsoft.com/azure/event-hubs/private-link-service . Auditınotexists, devre dışı 1.0.0
IoT Hub cihaz sağlama hizmeti örneklerinin özel bağlantı kullanması gerekir Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları IoT Hub cihaz sağlama hizmeti ile eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://aka.ms/iotdpsvnet . Denetim, devre dışı 1.0.0
Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir özel uç nokta bağlantıları, Azure SQL Veritabanı için özel bağlantı etkinleştirerek güvenli iletişim uygular. Denetim, devre dışı 1.1.0
Key Vault için özel uç nokta yapılandırılmalıdır Özel bağlantı, genel İnternet üzerinden trafik göndermeden Key Vault Azure kaynaklarınıza bağlamak için bir yol sağlar. Özel bağlantı, veri taşmasıyla karşı derinlemesine koruma sağlar. Denetim, reddetme, devre dışı 1.1.0-Önizleme
MariaDB sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MariaDB için Azure veritabanı 'na özel bağlantı etkinleştirerek güvenli iletişim uygular. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırın. Auditınotexists, devre dışı 1.0.2
MySQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, MySQL için Azure veritabanı 'na özel bağlantı etkinleştirerek güvenli iletişim uygular. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırın. Auditınotexists, devre dışı 1.0.2
PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, PostgreSQL için Azure veritabanı 'na özel bağlantı etkinleştirerek güvenli iletişim uygular. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırın. Auditınotexists, devre dışı 1.0.2
API Apps için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, API uygulamalarında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapalı olmalıdır. Auditınotexists, devre dışı 1.0.0
Işlev uygulamaları için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, işlev uygulamalarında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapalı olmalıdır. Auditınotexists, devre dışı 1.0.0
Web uygulamaları için uzaktan hata ayıklama kapatılmalıdır Uzaktan hata ayıklama, gelen bağlantı noktalarının bir Web uygulamasında açılmasını gerektirir. Uzaktan hata ayıklama kapalı olmalıdır. Auditınotexists, devre dışı 1.0.0
Depolama hesapların ağ erişimini kısıtlanması gerekir Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Ağ kurallarını, yalnızca izin verilen ağların uygulamalarının depolama hesabına erişebilmesi için yapılandırın. Belirli internet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarına yönelik trafiğe erişim verilebilir Denetim, reddetme, devre dışı 1.1.1
Depolama hesapların özel bağlantı kullanması gerekir Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek, veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi edinin https://aka.ms/azureprivatelinkoverview Auditınotexists, devre dışı 2.0.0
VM görüntü Oluşturucu şablonlarının özel bağlantı kullanması gerekir Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM görüntü Oluşturucu kaynak oluşturmaya eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet . Denetim, devre dışı, reddetme 1.1.0

Otomatik Izleme/denetim

Kimlik: fedrampa orta AC-17 (1)

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Kimliği olmayan sanal makinelerde Konuk yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik Ekle Bu ilke, Azure 'da barındırılan, Konuk yapılandırması tarafından desteklenen ancak herhangi bir yönetilen kimliği bulunmayan sanal makinelere sistem tarafından atanan yönetilen bir kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm konuk yapılandırma atamaları için bir önkoşuldur ve herhangi bir konuk yapılandırma ilkesi tanımı kullanılmadan önce makinelere eklenmelidir. Konuk yapılandırması hakkında daha fazla bilgi için, adresini ziyaret edin https://aka.ms/gcpol . değiştir 1.0.0
Kullanıcı tarafından atanan bir kimliğe sahip VM 'lerde Konuk yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik Ekle Bu ilke, Azure 'da barındırılan sanal makinelere, Konuk yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip ancak sistem tarafından atanan bir yönetilen kimliğe sahip olmayan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm konuk yapılandırma atamaları için bir önkoşuldur ve herhangi bir konuk yapılandırma ilkesi tanımı kullanılmadan önce makinelere eklenmelidir. Konuk yapılandırması hakkında daha fazla bilgi için, adresini ziyaret edin https://aka.ms/gcpol . değiştir 1.0.0
Uygulama Yapılandırması özel bağlantı kullanlı Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları hizmetin tamamı yerine uygulama yapılandırma örneklerinize eşleerek veri sızıntısı risklerine karşı da koruma altına alırnız. Daha fazla bilgi için: https://aka.ms/appconfig/private-endpoint . AuditIfNotExists, Disabled 1.0.2
Parola olmadan hesaplardan uzak bağlantılara izin verecek Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Linux makineleri parolasız hesaplardan uzak bağlantılara izin verdiyseniz makineler uyumlu değildir AuditIfNotExists, Disabled 1.0.0
FHIR için Azure API özel bağlantı kullan FHIR için Azure API en az bir onaylı özel uç nokta bağlantısı olmalıdır. Bir sanal ağ içinde istemciler, özel bağlantılarla özel uç nokta bağlantıları olan kaynaklara güvenli bir şekilde erişebilirsiniz. Daha fazla bilgi için şu ziyareti ziyaret edin: https://aka.ms/fhir-privatelink . Denetim, Devre Dışı 1.0.0
Redis için Azure Cache sanal ağ içinde yer ala Azure Sanal Ağ dağıtımı, erişimi daha fazla kısıtlamak için Redis için Azure Cache alt ağların, erişim denetimi ilkelerinin ve diğer özelliklerin yanı sıra sanal makineleriniz için gelişmiş güvenlik ve yalıtım sağlar. Bir Redis için Azure Cache sanal ağ ile yapılandırıldığında, genel olarak adreslenebilir değildir ve yalnızca sanal ağ içindeki sanal makinelerden ve uygulamalardan erişilebilir. Denetim, Reddet, Devre Dışı 1.0.3
Redis için Azure Cache özel bağlantı kullan Özel uç noktalar, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel uç noktaları uygulama örneklerinize Redis için Azure Cache veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link . AuditIfNotExists, Disabled 1.0.0
Azure Bilişsel Arama hizmetinin özel bağlantıyı destekleyen bir SKU kullanması gerekir Azure Bilişsel Arama'nin desteklenen SKUS'ları Azure Özel Bağlantı, sanal ağına kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerinize bağlanmanıza olanak sağlar. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları uygulamanıza eşle Arama hizmeti veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Denetim, Reddet, Devre Dışı 1.0.0
Azure Bilişsel Arama hizmetleri özel bağlantı kullan Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları veri Azure Bilişsel Arama veri sızıntısı riskleri azaltıldı. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Denetim, Devre Dışı 1.0.0
Azure Data Factory özel bağlantı kullan Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları veri Azure Data Factory veri sızıntısı riskleri azaltıldı. Özel bağlantılar hakkında daha fazla bilgi için: https://docs.microsoft.com/azure/data-factory/data-factory-private-link . AuditIfNotExists, Disabled 1.0.0
Azure Event Grid etki alanlarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları hizmetin tamamı Event Grid etki alanınıza eşleerek veri sızıntısı risklerine karşı da koruma altına alırnız. Daha fazla bilgi için: https://aka.ms/privateendpoints . Denetim, Devre Dışı 1.0.2
Azure Event Grid konu başlıkları özel bağlantı kullanlı Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları hizmetin tamamı Event Grid konu başlığınıza eşleerek veri sızıntısı risklerine karşı da koruma altına alırnız. Daha fazla bilgi için: https://aka.ms/privateendpoints . Denetim, Devre Dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullan Belirtilen Depolama Eşitleme Hizmeti kaynağı için özel bir uç nokta oluşturmak, Depolama Eşitleme Hizmeti kaynağınızı İnternet'e erişilebilen genel uç nokta yerine, kuruluş ağının özel IP adresi alanı içinden adresleyebilirsiniz. Özel uç noktanın tek başına oluşturulması genel uç noktayı devre dışı bırakmaz. AuditIfNotExists, Disabled 1.0.0
Azure Machine Learning çalışma alanlarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları çalışma alanlarıyla Azure Machine Learning veri sızıntısı riskleri azaltıldı. Özel bağlantılar hakkında daha fazla bilgi için: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link . Denetim, Reddet, Devre Dışı 1.1.0
Azure Service Bus ad alanları özel bağlantı kullanacaktır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları ad alanlarına Service Bus veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service . AuditIfNotExists, Disabled 1.0.0
Azure SignalR Hizmeti özel bağlantı kullan Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları hizmetin tamamı Azure SignalR Hizmeti kaynak kaynağınıza eşlerken veri sızıntısı risklerinizi azaltmış oluruz. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/asrs/privatelink . Denetim, Reddet, Devre Dışı 1.0.1
Azure Spring Cloud ekleme kullan Azure Spring Cloud örnekleri aşağıdaki amaçlar için sanal ağ ekleme kullan olmalıdır: 1. İnternet Azure Spring Cloud den yalıtma. 2. Şirket Azure Spring Cloud veri merkezlerindeki sistemlerle veya diğer sanal ağlarda Azure hizmetiyle etkileşime geçmenizi sağlar. 3. Müşterilere ağ iletişimi için gelen ve giden ağ iletişimlerini denetleme gücü Azure Spring Cloud. Denetim, Devre Dışı, Reddet 1.0.0
Azure Synapse çalışma alanlarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları çalışma alanına Azure Synapse veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links . Denetim, Devre Dışı 1.0.1
Azure Web PubSub Hizmeti özel bağlantı kullanlı Azure Özel Bağlantı sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerinize bağlamanıza olanak sağlar. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları Azure Web PubSub Hizmetinize eşleerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/awps/privatelink . Denetim, Reddet, Devre Dışı 1.0.0
Bilişsel Hizmetler özel bağlantı kullanlı Azure Özel Bağlantı sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerinize bağlamanıza olanak sağlar. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları Bilişsel Hizmetler'e eşleerek veri sızıntısı riskini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2129800 . Denetim, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri özel bağlantı kullanlı Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşlerken veri sızıntısı risklerine karşı da koruma altına alırnız. Daha fazla bilgi için: https://aka.ms/acr/private-link . Denetim, Devre Dışı 1.0.1
CosmosDB hesaplarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları CosmosDB hesabınıza eşlenince veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints . Denetim, Devre Dışı 1.0.0
Linux VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma Bu ilke, Linux Konuk Yapılandırması uzantısını Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen Linux sanal makinelerine dağıtır. Linux Konuk Yapılandırması uzantısı tüm Linux Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanılarak önce makinelere dağıtılacaktır. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. deployIfNotExists 1.0.1
Sanal Windows konuk yapılandırma atamalarını etkinleştirmek için Konuk Yapılandırması uzantısını Windows dağıtın Bu ilke, Windows Yapılandırma uzantısını Azure'Windows barındırılan ve Konuk Yapılandırması tarafından desteklenen sanal makinelere dağıtır. Konuk Windows uzantısı, tüm Windows Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir konuk konuk yapılandırması ilke tanımı Windows makinelere dağıtılabilir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. deployIfNotExists 1.0.1
Disk erişimi kaynaklarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları diskAccess'lere eşlerken veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/disksprivatelinksdoc . AuditIfNotExists, Disabled 1.0.0
Olay Hub'ı ad alanları özel bağlantı kullanacaktır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları Event Hub ad alanlarına eşlenince veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service . AuditIfNotExists, Disabled 1.0.0
IoT Hub sağlama hizmeti örneklerinin özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları cihaz sağlama IoT Hub eşlerken veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/iotdpsvnet . Denetim, Devre Dışı 1.0.0
Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, bağlantı noktalarına özel bağlantı sağlayarak güvenli Azure SQL Veritabanı. Denetim, Devre Dışı 1.1.0
Özel uç nokta, özel uç nokta için Key Vault Özel bağlantı, trafiği genel Key Vault göndermeden Azure kaynaklarınıza bağlamak için bir yol sağlar. Özel bağlantı, veri sızıntılarına karşı derinlemesine savunma sağlar. Denetim, Reddet, Devre Dışı 1.1.0-önizleme
MariaDB sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, bağlantı noktalarına özel bağlantı sağlayarak güvenli MariaDB için Azure Veritabanı. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırma. AuditIfNotExists, Disabled 1.0.2
MySQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, bağlantı noktalarına özel bağlantı sağlayarak güvenli MySQL için Azure Veritabanı. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırma. AuditIfNotExists, Disabled 1.0.2
PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, bağlantı noktalarına özel bağlantı sağlayarak güvenli PostgreSQL için Azure Veritabanı. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırma. AuditIfNotExists, Disabled 1.0.2
Uzaktan hata ayıklama, hata ayıklama için API Apps Uzaktan hata ayıklama, API uygulamaları üzerinde gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapalıdır. AuditIfNotExists, Disabled 1.0.0
İşlev Uygulamaları için uzaktan hata ayıklama kapalıdır Uzaktan hata ayıklama, işlev uygulamaları üzerinde gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapalıdır. AuditIfNotExists, Disabled 1.0.0
Web Uygulamaları için uzaktan hata ayıklama kapalıdır Uzaktan hata ayıklama, bir web uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapalıdır. AuditIfNotExists, Disabled 1.0.0
Depolama hesaplarının ağ erişimini kısıtlaması gerekir Depolama hesaplarına ağ erişimi kısıtlanmış olmalıdır. Ağ kurallarını yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişecek şekilde yapılandırma. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarına gelen trafiğe erişim izni verebilirsiniz Denetim, Reddet, Devre Dışı 1.1.1
Depolama hesapların özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları depolama hesabınıza eşlerken veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
VM Görüntü Oluşturucu şablonlarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet . Denetim, Devre Dışı, Reddet 1.1.0

Denetim ve Sorumluluk

Denetim Gözden Geçirmesi, Analiz ve Raporlama

Kimlik: FedRAMP Orta AU-6

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Azure Arc Kubernetes kümelerde Azure Defender uzantısı yüklü olmalıdır Azure Defender için uzantı Azure Arc Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki düğümlerden veri toplar ve daha fazla analiz Kubernetes için Azure Defender için bu verileri bulut arka ucuna gönderir. daha fazla bilgi için: https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc . AuditIfNotExists, Disabled 3.0.0-önizleme
Azure Defender için App Service etkinleştirilmelidir Azure Defender için App Service, yaygın web uygulaması saldırılarını izlemek için bulutun ölçeğini ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüğü kullanır. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Azure SQL Veritabanı etkinleştirilmelidir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltma SQL ya, veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevler sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender kayıt defterleri için kayıt defterleri etkinleştirilmelidir Azure Defender kayıt defterleri için güvenlik açığı taraması, son 30 gün içinde çekilen, kayıt defterinize aktarılan veya içeri aktarılan tüm görüntülerin güvenlik açığı taraması sağlar ve görüntü başına ayrıntılı bulguları ortaya çıkarır. AuditIfNotExists, Disabled 1.0.3
Azure Defender DNS için yapılandırma etkinleştirilmelidir dns Azure Defender, Azure kaynaklarından gelen tüm DNS sorgularını sürekli olarak izerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender DNS katmanında şüpheli etkinlik hakkında sizi uyarıyor. DNS için ağ bağlantılarının özellikleri hakkında daha Azure Defender için https://aka.ms/defender-for-dns bkz. . Bu planı etkinleştirmek Azure Defender ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0-önizleme
Azure Defender için Key Vault etkinleştirilmelidir Azure Defender için Key Vault, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve potansiyel olarak zararlı girişimleri algılayan ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Disabled 1.0.3
Kubernetes için Azure Defender etkinleştirilmelidir Kubernetes için Azure Defender kapsayıcılı ortamlar için gerçek zamanlı tehdit koruması sağlar ve şüpheli etkinlikler için uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Resource Manager etkinleştirilmelidir Azure Defender için Resource Manager, kuruluşta kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarıyor. Uygulamanın özellikleri hakkında daha fazla bilgi Azure Defender için https://aka.ms/defender-for-resource-manager Resource Manager. Bu planı etkinleştirmek Azure Defender ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender için yapılandırma etkinleştirilmelidir Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve hem sağlamlaştırma önerileri hem de şüpheli etkinliklerle ilgili uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender sunucuları SQL için sanal makinelerin etkinleştirilmesi gerekir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltma SQL ya, veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevler sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender için SQL korumasız Azure depolama sunucuları için SQL gerekir Gelişmiş SQL olmadan sunucuları denetleme AuditIfNotExists, Disabled 2.0.1
Azure Defender için SQL, Korumasız Yönetilen Örneklerde SQL etkinleştirilmelidir Her yönetilen SQL gelişmiş veri güvenliği olmadan denetleme. AuditIfNotExists, Disabled 1.0.2
Azure Defender için Depolama etkinleştirilmelidir Azure Defender için Depolama, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılamalarını sağlar. AuditIfNotExists, Disabled 1.0.3
Ağ trafiği veri toplama aracısı Linux sanal makinelerine yük yüklmektedir Güvenlik Merkezi, ağ haritasında trafik görselleştirme, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek için Azure sanal makinelerinizin ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Disabled 1.0.1-önizleme
Ağ trafiği veri toplama aracısı sanal makinelere Windows gerekir Güvenlik Merkezi, ağ haritasında trafik görselleştirme, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek için Azure sanal makinelerinizin ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Disabled 1.0.1-önizleme
Ağ İzleyici etkinleştirilmelidir Ağ İzleyicisi, Azure'da bir ağ senaryosu düzeyinde koşulları izlemenizi ve tanılamayı sağlayan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uç ağ düzeyi görünümünde tanılamaya olanak sağlar. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleme kaynak grubu olması gerekir. Bir ağ izleme kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Disabled 3.0.0

Kayıt Saklamayı Denetleme

Kimlik: FedRAMP Orta AU-11

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
SQL depolama hesabı hedefine denetime sahip tüm sunucuların 90 gün veya daha uzun saklama süresiyle yapılandırılması gerekir Olay araştırma amacıyla, depolama hesabı hedefine yönelik SQL Server veri saklamayı en az 90 gün olarak ayarlamanızı öneririz. İşletimte olduğu bölgeler için gerekli saklama kurallarına uygun olduğunu onaylayın. Bu bazen mevzuat standartlarına uyumluluk için gereklidir. AuditIfNotExists, Disabled 3.0.0

Denetim Oluşturma

Kimlik: FedRAMP Orta AU-12

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
SQL sunucusunda denetim etkinleştirilmelidir Sunucunuzda denetim SQL Server sunucusundaki tüm veritabanlarında veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. AuditIfNotExists, Disabled 2.0.0
Aboneliğiniz üzerinde Log Analytics aracılarının otomatik olarak sağlanması etkinleştirilmelidir Güvenlik açıklarını ve tehditlerini izlemek Azure Güvenlik Merkezi Azure sanal makinelerinize veri toplar. Veriler, önceden Microsoft Monitoring Agent (MMA) olarak bilinen ve makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okutan ve verileri analiz için Log Analytics çalışma alanınıza kopyalanan Log Analytics aracısı tarafından toplanır. Aracıyı desteklenen tüm Azure VM'lere ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. AuditIfNotExists, Disabled 1.0.1
Azure Arc Kubernetes kümelerde Azure Defender uzantısı yüklü olmalıdır Azure Defender uzantısı, Arc Azure Arc Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki düğümlerden veri toplar ve daha fazla analiz Kubernetes için Azure Defender için buluttaki arka ileriye gönderir. daha fazla bilgi için: https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc . AuditIfNotExists, Disabled 3.0.0-önizleme
Azure Defender için App Service etkinleştirilmelidir Azure Defender için App Service, yaygın web uygulaması saldırılarını izlemek için bulutun ölçeğini ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüğü kullanır. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Azure SQL Veritabanı etkinleştirilmelidir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltmaya, SQL veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevsellik sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender kayıt defterleri için kayıt defterleri etkinleştirilmelidir Azure Defender kayıt defterleri için güvenlik açığı taraması, son 30 gün içinde çekilen, kayıt defterinize aktarılan veya içeri aktarılan tüm görüntülerin güvenlik açığı taraması sağlar ve görüntü başına ayrıntılı bulguları ortaya çıkarır. AuditIfNotExists, Disabled 1.0.3
Azure Defender DNS için yapılandırma etkinleştirilmelidir Azure Defender, Azure kaynaklarından gelen tüm DNS sorgularını sürekli olarak izerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender DNS katmanında şüpheli etkinlik hakkında sizi uyarıyor. DNS için ağ bağlantılarının özellikleri hakkında daha Azure Defender için https://aka.ms/defender-for-dns bkz. . Bu planı etkinleştirmek Azure Defender ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0-önizleme
Azure Defender için Key Vault etkinleştirilmelidir Azure Defender için Key Vault, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayan ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Disabled 1.0.3
Kubernetes için Azure Defender etkinleştirilmelidir Kubernetes için Azure Defender kapsayıcılı ortamlar için gerçek zamanlı tehdit koruması sağlar ve şüpheli etkinlikler için uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Resource Manager etkinleştirilmelidir Azure Defender, Resource Manager kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarıyor. Uygulamanın özellikleri hakkında daha fazla bilgi Azure Defender için https://aka.ms/defender-for-resource-manager Resource Manager. Bu planı etkinleştirmek Azure Defender ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender için yapılandırma etkinleştirilmelidir Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve hem sağlamlaştırma önerileri hem de şüpheli etkinliklerle ilgili uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender makinelerde SQL sunucuların etkinleştirilmesi gerekir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltmaya, SQL veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevsellik sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender için SQL korumasız Azure depolama sunucuları için SQL gerekir Gelişmiş SQL olmadan sunucularını denetleme AuditIfNotExists, Disabled 2.0.1
Azure Defender için SQL, Korumasız Yönetilen Örneklerde SQL etkinleştirilmelidir Her yönetilen SQL gelişmiş veri güvenliği olmadan denetleme. AuditIfNotExists, Disabled 1.0.2
Azure Defender için Depolama etkinleştirilmelidir Azure Defender için Depolama, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve potansiyel olarak zararlı girişimlerin algılamalarını sağlar. AuditIfNotExists, Disabled 1.0.3
App Services'te tanılama günlükleri etkinleştirilmelidir Uygulamada tanılama günlüklerinin etkinleştirilmesini denetleme. Bu, bir güvenlik olayı oluşursa veya ağınız tehlikeye girerse araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak sağlar AuditIfNotExists, Disabled 2.0.0
Makinelerinize Konuk Yapılandırma uzantısı yük yüklmektedir Makinenizin konuk ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izleyen konuk ayarları işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya varlık ayarlarını ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içinde ilkeler kullanılabilir. daha fazla bilgi için: https://aka.ms/gcpol . AuditIfNotExists, Disabled 1.0.1
Log Analytics aracısı sistem durumu sorunları makineleriniz üzerinde çözümlensin Güvenlik Merkezi, eski adı Microsoft Monitoring Agent (MMA) olan Log Analytics aracılarını kullanır. Sanal makinelerinizin başarıyla izlenir olduğundan emin olmak için, aracının sanal makinelere yüklü olduğundan ve güvenlik olaylarını yapılandırılan çalışma alanına düzgün bir şekilde toplayandan emin olun. AuditIfNotExists, Disabled 1.0.0
Log Analytics aracısı Linux sanal makinelerinize Azure Arc gerekir Bu ilke, Log Analytics Azure Arc yüklenmemişse Linux sanal makinelerini denetlemektedir. AuditIfNotExists, Disabled 1.0.0-önizleme
Log Analytics aracısı, izleme için sanal makinenize Azure Güvenlik Merkezi gerekir Bu ilke, Log Analytics aracısı Windows Güvenlik Merkezi'nin güvenlik açıklarını ve tehditleri izlemek için kullandığı herhangi bir sanal makine/Linux sanal makinesi (VM) yüklemezse, bu ilkeyi kontrol eder AuditIfNotExists, Disabled 1.0.0
Log Analytics aracısı, sanal makine ölçek kümenize yük yük Azure Güvenlik Merkezi gerekir Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinize (VM) veri toplar. AuditIfNotExists, Disabled 1.0.0
Log Analytics aracısı, sanal makinelerinize Windows Azure Arc gerekir Bu ilke Windows Azure Arc Log Analytics aracısı yüklü değilse bu makineleri denetlemeye devam ediyor. AuditIfNotExists, Disabled 1.0.0-önizleme
Ağ trafiği veri toplama aracısı Linux sanal makinelerine yük yüklmektedir Güvenlik Merkezi, ağ haritasında trafik görselleştirme, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek için Azure sanal makinelerinizin ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Disabled 1.0.1-önizleme
Ağ trafiği veri toplama aracısı sanal makinelere Windows gerekir Güvenlik Merkezi, ağ haritasında trafik görselleştirme, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek için Azure sanal makinelerinizin ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Disabled 1.0.1-önizleme
Ağ İzleyici etkinleştirilmelidir Ağ İzleyicisi, Azure'da bir ağ senaryosu düzeyinde koşulları izlemenizi ve tanılamayı sağlayan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uç ağ düzeyi görünümünde tanılamaya olanak sağlar. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleme kaynak grubu olması gerekir. Bir ağ izleme kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Disabled 3.0.0
Azure Data Lake Store günlüklerinin etkinleştirilmesi gerekir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak sağlar; bir güvenlik olayı oluştuğunda veya ağ güvenliğinin tehlikeye atılmış olduğu zaman AuditIfNotExists, Disabled 5.0.0
Azure Stream Analytics günlüklerinin etkinleştirilmesi gerekir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak sağlar; bir güvenlik olayı oluştuğunda veya ağ güvenliğinin tehlikeye atılmış olduğu zaman AuditIfNotExists, Disabled 5.0.0
Batch hesaplarında kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak sağlar; bir güvenlik olayı oluştuğunda veya ağ güvenliğinin tehlikeye atılmış olduğu zaman AuditIfNotExists, Disabled 5.0.0
Data Lake Analytics günlüklerinin etkinleştirilmesi gerekir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak sağlar; bir güvenlik olayı oluştuğunda veya ağ güvenliğinin tehlikeye atılmış olduğu zaman AuditIfNotExists, Disabled 5.0.0
Event Hub'daki kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak sağlar; bir güvenlik olayı oluştuğunda veya ağ güvenliğinin tehlikeye atılmış olduğu zaman AuditIfNotExists, Disabled 5.0.0
IoT Hub günlüklerinin etkinleştirilmesi gerekir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak sağlar; bir güvenlik olayı oluştuğunda veya ağ güvenliğinin tehlikeye atılmış olduğu zaman AuditIfNotExists, Disabled 3.0.1
Key Vault günlüklerinin etkinleştirilmesi gerekir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, güvenlik olayı oluştuğunda veya ağınız tehlikede olduğunda araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak sağlar AuditIfNotExists, Disabled 5.0.0
Logic Apps günlüklerinin etkinleştirilmesi gerekir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak sağlar; bir güvenlik olayı oluştuğunda veya ağ güvenliğinin tehlikeye atılmış olduğu zaman AuditIfNotExists, Disabled 5.0.0
Arama hizmetlerinde kaynak günlükleri etkinleştirilmelidir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak sağlar; bir güvenlik olayı oluştuğunda veya ağ güvenliğinin tehlikeye atılmış olduğu zaman AuditIfNotExists, Disabled 5.0.0
Service Bus günlüklerinin etkinleştirilmesi gerekir Kaynak günlüklerinin etkinleştirilmesini denetleme. Bu, araştırma amacıyla kullanmak üzere etkinlik izlerini yeniden oluşturmanıza olanak sağlar; bir güvenlik olayı oluştuğunda veya ağ güvenliğinin tehlikeye atılmış olduğu zaman AuditIfNotExists, Disabled 5.0.0
Sanal Makine Ölçek Kümelerinde kaynak günlükleri etkinleştirilmelidir Bir olay veya güvenlik açıkları durumunda araştırma gerektiğinde etkinlik kayıtlarının yeniden oluşturulamalarını sağlamak için Günlükler'i etkinleştirmeniz önerilir. AuditIfNotExists, Disabled 2.0.1
Sanal makinelerin Konuk Yapılandırması uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılacak Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri Konuk Yapılandırması uzantısını yüklemiş ancak sistem tarafından atanmış yönetilen kimliği olmayan sanal makineler uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Yapılandırma Yönetimi

Yapılandırma Ayarlar

Kimlik: FedRAMP Orta CM-6

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Azure İlkesi Kubernetes hizmeti (AKS) için eklenti yüklenmeli ve kümelerde etkinleştirilmelidir Azure İlkesi Kubernetes hizmeti (AKS) için eklenti açık ilke aracısı (OPA) için erişim denetleyicisi web kancası olan Gatekeeper v3'ü genişletmektedir ve kümeleriniz üzerinde merkezi ve tutarlı bir şekilde büyük ölçekli zorlamalar ve korumalar uygulayabilir. Denetim, Devre Dışı 1.0.2
CORS, her kaynağın API Uygulamanıza erişmesine izin vermeli Çıkış Noktası Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının API uygulamanıza erişmesine izin vermemektedir. Yalnızca gerekli etki alanlarının API uygulamanıza etkileşim kurmasına izin ver. AuditIfNotExists, Disabled 1.0.0
CORS, her kaynağın İşlev Uygulamalarınıza erişmesine izin vermemektedir Çıkış Noktası Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının İşlev uygulamanıza erişmesine izin vermemektedir. yalnızca gerekli etki alanlarının İşlev uygulamanıza etkileşim kurmasına izin ver. AuditIfNotExists, Disabled 1.0.0
CORS, her kaynağın Web Uygulamalarınıza erişmesine izin vermemelidir Çıkış Noktası Arası Kaynak Paylaşımı (CORS), tüm etki alanlarının web uygulamanıza erişmesine izin vermemektedir. Yalnızca gerekli etki alanlarının web uygulamanıza etkileşim kurmasına izin ver. AuditIfNotExists, Disabled 1.0.0
API uygulamasında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' olarak 'Açık' olarak ayarlanmış olduğundan emin olmak İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika isteğine olanak sağlar. Yalnızca geçerli bir sertifikaya sahip istemciler uygulamaya ulaşabilir. Denetim, Devre Dışı 1.0.0
WEB uygulamasında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' olarak 'On' olarak ayarlanmış olduğundan emin İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika isteğine olanak sağlar. Yalnızca geçerli bir sertifikaya sahip istemciler uygulamaya ulaşabilir. Denetim, Devre Dışı 1.0.0
İşlev uygulamaları 'İstemci Sertifikaları (Gelen istemci sertifikaları)' etkin olmalıdır İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika isteğine olanak sağlar. Yalnızca geçerli sertifikalara sahip istemciler uygulamaya ulaşabilir. Denetim, Devre Dışı 1.0.1
Kubernetes küme kapsayıcıları CPU ve bellek kaynak sınırları belirtilen sınırları aşmamalıdır Kubernetes kümesinde kaynak tükenme saldırılarını önlemek için kapsayıcı CPU ve bellek kaynak sınırlarını zorunlu kılın. Bu ilke kubernetes Service (AKS) için genel olarak kullanılabilir ve AKS Engine ve Azure Arc kubernetes önizlemesi için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, reddetme, devre dışı 7.0.0
Kubernetes küme kapsayıcıları konak işlem kimliğini veya konak IPC ad alanını paylaşmamalıdır Pod kapsayıcıların kubernetes kümesinde konak işlem kimliği ad alanını ve konak IPC ad alanını paylaşmasını engelin. Bu öneri, Kubernetes ortamlarının güvenliğini geliştirmeyi amaçlanan CIS 5.2.2 ve CIS 5.2.3'ü içerir. Bu ilke kubernetes Service (AKS) için genel olarak kullanılabilir ve AKS Engine ve Azure Arc kubernetes önizlemesi için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, reddetme, devre dışı 3.0.1
Kubernetes küme kapsayıcıları yalnızca izin verilen bağlantı noktalarını dinlemeli Kubernetes kümesine erişimin güvenliğini sağlamak için kapsayıcıları yalnızca izin verilen bağlantı noktalarında dinleyecek şekilde kısıtla. Bu ilke kubernetes Service (AKS) için genel olarak kullanılabilir ve AKS Engine ve Azure Arc kubernetes önizlemesi için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, reddetme, devre dışı 6.1.1
Kubernetes küme kapsayıcıları yalnızca izin verilen AppArmor profillerini kullanmalıdır Kapsayıcılar bir Kubernetes kümesinde yalnızca izin verilen AppArmor profillerini kullanmalıdır. Bu öneri, Kubernetes ortamlarının güvenliğini artırmaya yönelik Pod Güvenlik İlkeleri'nin bir parçasıtır. Bu ilke kubernetes Service (AKS) için genel olarak kullanılabilir ve AKS Engine ve Azure Arc kubernetes önizlemesi için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, reddetme, devre dışı 4.0.1
Kubernetes küme kapsayıcıları yalnızca izin verilen özellikleri kullanmalıdır Kubernetes kümesinde kapsayıcıların saldırı yüzeyini azaltmak için özellikleri kısıtla. Bu öneri, Kubernetes ortamlarının güvenliğini artırmaya yönelik CIS 5.2.8 ve CIS 5.2.9'un bir parçasıdır. Bu ilke kubernetes Service (AKS) için genel olarak kullanılabilir ve AKS Engine ve Azure Arc kubernetes önizlemesi için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, reddetme, devre dışı 4.0.1
Kubernetes küme kapsayıcıları yalnızca izin verilen görüntüleri kullanmalıdır Kubernetes kümesinde bilinmeyen güvenlik açıklarına, güvenlik sorunlarına ve kötü amaçlı görüntülere maruz kalma riskini azaltmak için güvenilen kayıt defterlerinden görüntüleri kullanın. Bu ilke kubernetes Service (AKS) için genel olarak kullanılabilir ve AKS Engine ve Azure Arc kubernetes önizlemesi için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, reddetme, devre dışı 7.0.0
Kubernetes küme kapsayıcıları salt okunur bir kök dosya sistemiyle çalıştırmalıdır Kubernetes kümesinde PATH'e kötü amaçlı ikili dosyalar ekleniyor ve çalışma zamanında yapılan değişikliklerden korunmak için kapsayıcıları salt okunur kök dosya sistemiyle çalıştırın. Bu ilke kubernetes Service (AKS) için genel olarak kullanılabilir ve AKS Engine ve Azure Arc kubernetes önizlemesi için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, reddetme, devre dışı 4.0.1
Kubernetes küme pod konakPath birimleri yalnızca izin verilen konak yollarını kullansın Pod HostPath biriminin Kubernetes Kümesinde izin verilen konak yollarına bağlamasını sınırla. Bu öneri, Kubernetes ortamlarının güvenliğini artırmaya yönelik Pod Güvenlik İlkeleri'nin bir parçasıtır. Bu ilke kubernetes Service (AKS) için genel olarak kullanılabilir ve AKS Engine ve Azure Arc kubernetes önizlemesi için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, reddetme, devre dışı 4.0.1
Kubernetes küme podları ve kapsayıcıları yalnızca onaylanan kullanıcı ve grup kimlikleriyle çalıştırmalıdır Podların ve kapsayıcıların Kubernetes Kümesinde çalıştırmak için kullanabileceği kullanıcı, birincil grup, ek grup ve dosya sistemi grubu kimliklerini kontrol edin. Bu öneri, Kubernetes ortamlarının güvenliğini artırmaya yönelik Pod Güvenlik İlkeleri'nin bir parçasıtır. Bu ilke kubernetes Service (AKS) için genel olarak kullanılabilir ve AKS Engine ve Azure Arc kubernetes önizlemesi için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, reddetme, devre dışı 4.0.1
Kubernetes küme podları yalnızca onaylı konak ağı ve bağlantı noktası aralığı kullan olmalıdır Kubernetes kümesinde konak ağına ve izin verilebilir konak bağlantı noktası aralığına pod erişimini kısıtla. Bu öneri, Kubernetes ortamlarının güvenliğini artırmaya yönelik CIS 5.2.4'in bir parçasıdır. Bu ilke kubernetes Service (AKS) için genel olarak kullanılabilir ve AKS Engine ve Azure Arc kubernetes önizlemesi için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, reddetme, devre dışı 4.0.1
Kubernetes küme hizmetleri yalnızca izin verilen bağlantı noktalarında dinlemeli Kubernetes kümesine erişimin güvenliğini sağlamak için hizmetleri yalnızca izin verilen bağlantı noktalarında dinleyecek şekilde kısıtla. Bu ilke kubernetes Service (AKS) için genel olarak kullanılabilir ve AKS Engine ve Azure Arc kubernetes önizlemesi için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, reddetme, devre dışı 6.1.1
Kubernetes kümesi ayrıcalıklı kapsayıcılara izin vermemalıdır Kubernetes kümesinde ayrıcalıklı kapsayıcıların oluşturulmasına izin verme. Bu öneri, Kubernetes ortamlarının güvenliğini artırmaya yönelik CIS 5.2.1'in bir parçasıdır. Bu ilke kubernetes Service (AKS) için genel olarak kullanılabilir ve AKS Engine ve Azure Arc kubernetes önizlemesi için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, reddetme, devre dışı 7.0.0
Kubernetes kümeleri, kapsayıcı ayrıcalıklı yükseltmesine izin vermemelidir Kapsayıcıların Kubernetes kümesinde köke ayrıcalık yükseltme ile çalışmasına izin verme. Bu öneri, Kubernetes ortamlarının güvenliğini artırmaya yönelik CIS 5.2.5'in bir parçasıdır. Bu ilke kubernetes Service (AKS) için genel olarak kullanılabilir ve AKS Engine ve Azure Arc kubernetes önizlemesi için kullanılabilir. Daha fazla bilgi için bkz. https://aka.ms/kubepolicydoc. denetim, reddetme, devre dışı 3.0.1
Linux makineleri, Azure işlem güvenlik temeli gereksinimlerini karşılamalıdır Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Makine Azure işlem güvenlik temeli önerilerinden biri için doğru yapılandırılmamışsa makineler uyumlu değildir. AuditIfNotExists, Disabled 1.1.1-önizleme
Uzaktan hata ayıklama, hata ayıklama için API Apps Uzaktan hata ayıklama, API uygulamaları üzerinde gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapalıdır. AuditIfNotExists, Disabled 1.0.0
İşlev Uygulamaları için uzaktan hata ayıklama kapalıdır Uzaktan hata ayıklama, işlev uygulamaları üzerinde gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapalıdır. AuditIfNotExists, Disabled 1.0.0
Web Uygulamaları için uzaktan hata ayıklama kapalıdır Uzaktan hata ayıklama, bir web uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapalıdır. AuditIfNotExists, Disabled 1.0.0
Windows makinelerin Azure işlem güvenlik temeli gereksinimlerini karşılaması gerekir Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Makine Azure işlem güvenlik temeli önerilerinden biri için doğru yapılandırılmamışsa makineler uyumlu değildir. AuditIfNotExists, Disabled 1.0.1-önizleme

En Az İşlevsellik

Kimlik: FedRAMP Orta CM-7

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Güvenli uygulamaları tanımlamak için uyarlamalı uygulama denetimleri makineleriniz üzerinde etkinleştirilmelidir Makineleriniz üzerinde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştırıldıklarda sizi uyaracak şekilde uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesi ile her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamaların listesini önerir. AuditIfNotExists, Disabled 3.0.0
Uyarlamalı uygulama denetimi ilkenize izin verme listesi kuralları güncelleştirilmiş olmalı Uygulamanın uyarlamalı uygulama denetimleri tarafından denetim için yapılandırılmış makine Azure Güvenlik Merkezi davranış değişikliklerini izleme. Güvenlik Merkezi makine öğrenmesi ile makineleriniz üzerinde çalışan işlemleri analiz eder ve bilinen güvenli uygulamaların bir listesini önerir. Bunlar, uyarlamalı uygulama denetim ilkelerine izin vermek için önerilen uygulamalar olarak sunulmaktadır. AuditIfNotExists, Disabled 3.0.0
Azure Defender için yapılandırma etkinleştirilmelidir Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve hem sağlamlaştırma önerileri hem de şüpheli etkinliklerle ilgili uyarılar üretir. AuditIfNotExists, Disabled 1.0.3

Program Yürütmeyi Engelleme

Kimlik: FedRAMP Orta CM-7 (2)

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Güvenli uygulamaları tanımlamaya yönelik Uyarlamalı uygulama denetimleri, makinelerinizde etkinleştirilmelidir Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak için uygulama denetimlerini etkinleştirin ve diğer uygulamalar çalıştırıldığında sizi uyarır. Bu, makinelerinizi kötü amaçlı yazılımlara karşı korumanıza yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve sürdürme sürecini basitleştirmek için makine öğrenimini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. Auditınotexists, devre dışı 3.0.0
Uyarlamalı uygulama denetim ilkenizde allowlist kuralları güncelleştirilmeleri gerekir Azure Güvenlik Merkezi 'nin Uyarlamalı uygulama denetimleri tarafından denetim için yapılandırılmış makine gruplarının davranışındaki değişiklikler için izleyici. Güvenlik Merkezi, makinelerinizdeki çalışan süreçlerini çözümlemek ve bilinen güvenli uygulamaların bir listesini önermek için makine öğrenimini kullanır. Bunlar, uyarlamalı uygulama denetim ilkelerine izin vermek için önerilen uygulamalar olarak sunulur. Auditınotexists, devre dışı 3.0.0

Yetkili yazılım/beyaz listeleme

Kimlik: fedratin orta cm-7 (5)

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Güvenli uygulamaları tanımlamaya yönelik Uyarlamalı uygulama denetimleri, makinelerinizde etkinleştirilmelidir Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak için uygulama denetimlerini etkinleştirin ve diğer uygulamalar çalıştırıldığında sizi uyarır. Bu, makinelerinizi kötü amaçlı yazılımlara karşı korumanıza yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve sürdürme sürecini basitleştirmek için makine öğrenimini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. Auditınotexists, devre dışı 3.0.0
Uyarlamalı uygulama denetim ilkenizde allowlist kuralları güncelleştirilmeleri gerekir Azure Güvenlik Merkezi 'nin Uyarlamalı uygulama denetimleri tarafından denetim için yapılandırılmış makine gruplarının davranışındaki değişiklikler için izleyici. Güvenlik Merkezi, makinelerinizdeki çalışan süreçlerini çözümlemek ve bilinen güvenli uygulamaların bir listesini önermek için makine öğrenimini kullanır. Bunlar, uyarlamalı uygulama denetim ilkelerine izin vermek için önerilen uygulamalar olarak sunulur. Auditınotexists, devre dışı 3.0.0

Yazılım kullanım kısıtlamaları

Kimlik: fedrampa orta cm-10

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Güvenli uygulamaları tanımlamaya yönelik Uyarlamalı uygulama denetimleri, makinelerinizde etkinleştirilmelidir Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak için uygulama denetimlerini etkinleştirin ve diğer uygulamalar çalıştırıldığında sizi uyarır. Bu, makinelerinizi kötü amaçlı yazılımlara karşı korumanıza yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve sürdürme sürecini basitleştirmek için makine öğrenimini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. Auditınotexists, devre dışı 3.0.0
Uyarlamalı uygulama denetim ilkenizde allowlist kuralları güncelleştirilmeleri gerekir Azure Güvenlik Merkezi 'nin Uyarlamalı uygulama denetimleri tarafından denetim için yapılandırılmış makine gruplarının davranışındaki değişiklikler için izleyici. Güvenlik Merkezi, makinelerinizdeki çalışan süreçlerini çözümlemek ve bilinen güvenli uygulamaların bir listesini önermek için makine öğrenimini kullanır. Bunlar, uyarlamalı uygulama denetim ilkelerine izin vermek için önerilen uygulamalar olarak sunulur. Auditınotexists, devre dışı 3.0.0

Kullanıcı tarafından yüklenen yazılım

Kimlik: fedrampa orta cm-11

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Güvenli uygulamaları tanımlamaya yönelik Uyarlamalı uygulama denetimleri, makinelerinizde etkinleştirilmelidir Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak için uygulama denetimlerini etkinleştirin ve diğer uygulamalar çalıştırıldığında sizi uyarır. Bu, makinelerinizi kötü amaçlı yazılımlara karşı korumanıza yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve sürdürme sürecini basitleştirmek için makine öğrenimini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. Auditınotexists, devre dışı 3.0.0
Uyarlamalı uygulama denetim ilkenizde allowlist kuralları güncelleştirilmeleri gerekir Azure Güvenlik Merkezi 'nin Uyarlamalı uygulama denetimleri tarafından denetim için yapılandırılmış makine gruplarının davranışındaki değişiklikler için izleyici. Güvenlik Merkezi, makinelerinizdeki çalışan süreçlerini çözümlemek ve bilinen güvenli uygulamaların bir listesini önermek için makine öğrenimini kullanır. Bunlar, uyarlamalı uygulama denetim ilkelerine izin vermek için önerilen uygulamalar olarak sunulur. Auditınotexists, devre dışı 3.0.0

Yedek planlama

alternatif Depolama sitesi

Kimlik: fedrampa orta CP-6

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
MariaDB için Azure veritabanı 'nda coğrafi olarak yedekli yedekleme etkinleştirilmelidir MariaDB için Azure veritabanı, veritabanı sunucunuz için artıklık seçeneğini seçmenize olanak sağlar. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, ancak aynı zamanda bir bölge hatası durumunda kurtarma seçeneği sağlamak için eşlenmiş bir bölgeye çoğaltılan coğrafi olarak yedekli bir yedekleme depolamasına ayarlanabilir. Yedekleme için coğrafi olarak yedekli depolamayı yapılandırmaya yalnızca sunucu oluşturma sırasında izin verilir. Denetim, devre dışı 1.0.1
MySQL için Azure veritabanı 'nda coğrafi olarak yedekli yedekleme etkinleştirilmelidir MySQL için Azure veritabanı, veritabanı sunucunuz için artıklık seçeneğini seçmenize olanak sağlar. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, ancak aynı zamanda bir bölge hatası durumunda kurtarma seçeneği sağlamak için eşlenmiş bir bölgeye çoğaltılan coğrafi olarak yedekli bir yedekleme depolamasına ayarlanabilir. Yedekleme için coğrafi olarak yedekli depolamayı yapılandırmaya yalnızca sunucu oluşturma sırasında izin verilir. Denetim, devre dışı 1.0.1
PostgreSQL için Azure veritabanı için coğrafi olarak yedekli yedekleme etkinleştirilmelidir PostgreSQL için Azure veritabanı, veritabanı sunucunuz için artıklık seçeneğini seçmenizi sağlar. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, ancak aynı zamanda bir bölge hatası durumunda kurtarma seçeneği sağlamak için eşlenmiş bir bölgeye çoğaltılan coğrafi olarak yedekli bir yedekleme depolamasına ayarlanabilir. Yedekleme için coğrafi olarak yedekli depolamayı yapılandırmaya yalnızca sunucu oluşturma sırasında izin verilir. Denetim, devre dışı 1.0.1
Depolama hesapları için coğrafi olarak yedekli depolama etkinleştirilmelidir Yüksek oranda kullanılabilir uygulamalar oluşturmak için coğrafi artıklığı kullanın Denetim, devre dışı 1.0.0
Azure SQL veritabanları için uzun süreli coğrafi olarak yedekli yedeklemenin etkinleştirilmesi gerekir bu ilke, uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmemiş olan tüm Azure SQL Veritabanı denetler. Auditınotexists, devre dışı 2.0.0

Birincil siteden ayırma

Kimlik: fedrampa orta CP-6 (1)

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
MariaDB için Azure veritabanı 'nda coğrafi olarak yedekli yedekleme etkinleştirilmelidir MariaDB için Azure veritabanı, veritabanı sunucunuz için artıklık seçeneğini seçmenize olanak sağlar. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, ancak aynı zamanda bir bölge hatası durumunda kurtarma seçeneği sağlamak için eşlenmiş bir bölgeye çoğaltılan coğrafi olarak yedekli bir yedekleme depolamasına ayarlanabilir. Yedekleme için coğrafi olarak yedekli depolamayı yapılandırmaya yalnızca sunucu oluşturma sırasında izin verilir. Denetim, devre dışı 1.0.1
MySQL için Azure veritabanı 'nda coğrafi olarak yedekli yedekleme etkinleştirilmelidir MySQL için Azure veritabanı, veritabanı sunucunuz için artıklık seçeneğini seçmenize olanak sağlar. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, ancak aynı zamanda bir bölge hatası durumunda kurtarma seçeneği sağlamak için eşlenmiş bir bölgeye çoğaltılan coğrafi olarak yedekli bir yedekleme depolamasına ayarlanabilir. Yedekleme için coğrafi olarak yedekli depolamayı yapılandırmaya yalnızca sunucu oluşturma sırasında izin verilir. Denetim, devre dışı 1.0.1
PostgreSQL için Azure veritabanı için coğrafi olarak yedekli yedekleme etkinleştirilmelidir PostgreSQL için Azure veritabanı, veritabanı sunucunuz için artıklık seçeneğini seçmenizi sağlar. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, ancak aynı zamanda bir bölge hatası durumunda kurtarma seçeneği sağlamak için eşlenmiş bir bölgeye çoğaltılan coğrafi olarak yedekli bir yedekleme depolamasına ayarlanabilir. Yedekleme için coğrafi olarak yedekli depolamayı yapılandırmaya yalnızca sunucu oluşturma sırasında izin verilir. Denetim, devre dışı 1.0.1
Depolama hesapları için coğrafi olarak yedekli depolama etkinleştirilmelidir Yüksek oranda kullanılabilir uygulamalar oluşturmak için coğrafi artıklığı kullanın Denetim, devre dışı 1.0.0
Azure SQL veritabanları için uzun süreli coğrafi olarak yedekli yedeklemenin etkinleştirilmesi gerekir bu ilke, uzun süreli coğrafi olarak yedekli yedekleme etkinleştirilmemiş olan tüm Azure SQL Veritabanı denetler. Auditınotexists, devre dışı 2.0.0

Alternatif Işleme sitesi

Kimlik: fedrampa orta CP-7

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Olağanüstü durum kurtarma yapılandırması olmadan sanal makineleri denetleme Olağanüstü durum kurtarma yapılandırması olmayan sanal makineleri denetleyin. Olağanüstü durum kurtarma hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/asr-doc . Auditınotexists 1.0.0

Bilgi sistemi yedeklemesi

Kimlik: fedrampa orta CP-9

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Sanal makineler için Azure Backup etkinleştirilmelidir Azure Backup etkinleştirerek Azure sanal makinelerinizin korunmasını sağlayın. Azure Backup, Azure için güvenli ve uygun maliyetli bir veri koruma çözümüdür. Auditınotexists, devre dışı 2.0.0
MariaDB için Azure veritabanı 'nda coğrafi olarak yedekli yedekleme etkinleştirilmelidir MariaDB için Azure veritabanı, veritabanı sunucunuz için artıklık seçeneğini seçmenize olanak sağlar. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, ancak aynı zamanda bir bölge hatası durumunda kurtarma seçeneği sağlamak için eşlenmiş bir bölgeye çoğaltılan coğrafi olarak yedekli bir yedekleme depolamasına ayarlanabilir. Yedekleme için coğrafi olarak yedekli depolamayı yapılandırmaya yalnızca sunucu oluşturma sırasında izin verilir. Denetim, devre dışı 1.0.1
MySQL için Azure veritabanı 'nda coğrafi olarak yedekli yedekleme etkinleştirilmelidir MySQL için Azure veritabanı, veritabanı sunucunuz için artıklık seçeneğini seçmenize olanak sağlar. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, ancak aynı zamanda bir bölge hatası durumunda kurtarma seçeneği sağlamak için eşlenmiş bir bölgeye çoğaltılan coğrafi olarak yedekli bir yedekleme depolamasına ayarlanabilir. Yedekleme için coğrafi olarak yedekli depolamayı yapılandırmaya yalnızca sunucu oluşturma sırasında izin verilir. Denetim, devre dışı 1.0.1
PostgreSQL için Azure veritabanı için coğrafi olarak yedekli yedekleme etkinleştirilmelidir PostgreSQL için Azure veritabanı, veritabanı sunucunuz için artıklık seçeneğini seçmenizi sağlar. Verilerin yalnızca sunucunuzun barındırıldığı bölgede depolanmadığı, ancak aynı zamanda bir bölge hatası durumunda kurtarma seçeneği sağlamak için eşlenmiş bir bölgeye çoğaltılan coğrafi olarak yedekli bir yedekleme depolamasına ayarlanabilir. Yedekleme için coğrafi olarak yedekli depolamayı yapılandırmaya yalnızca sunucu oluşturma sırasında izin verilir. Denetim, devre dışı 1.0.1
Anahtar kasaları Temizleme koruması etkin olmalıdır Bir anahtar kasasının kötü bir şekilde silinmesi kalıcı veri kaybına neden olabilir. Kuruluşunuzda kötü amaçlı bir Insider, anahtar kasalarını silebilir ve temizlerse. Temizleme koruması, geçici olarak silinen Anahtar kasaları için zorunlu bir saklama süresi zorlayarak Insider saldırılarına karşı sizi korur. Kuruluş içinde hiç kimse veya Microsoft, geçici silme Bekletme dönemi sırasında anahtar kasalarınızı temizlenebilir. Denetim, reddetme, devre dışı 2.0.0
Anahtar kasaları geçici silme etkin olmalıdır Geçici silme etkin olmadan bir anahtar kasasının silinmesi, anahtar kasasında depolanan tüm gizli dizileri, anahtarları ve sertifikaları kalıcı olarak siler. Bir anahtar kasasının yanlışlıkla silinmesi kalıcı veri kaybına neden olabilir. Geçici silme, yapılandırılabilir bir bekletme dönemi için yanlışlıkla silinen bir anahtar kasasını kurtarmanızı sağlar. Denetim, reddetme, devre dışı 2.0.0

Belirleme ve Kimlik Doğrulaması

Belirleme ve Kimlik Doğrulaması (kuruluş Kullanıcıları)

Kimlik: FedRAMP Orta IA-2

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Azure Active Directory için bir yönetici sağ SQL gerekir Azure AD kimlik doğrulamasını etkinleştirmek Azure Active Directory için SQL bir yöneticinin sağlamasını denetleme. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer kullanıcıların basitleştirilmiş izin yönetimine ve merkezi kimlik yönetimine olanak Microsoft hizmetleri AuditIfNotExists, Disabled 1.0.0
Bilişsel Hizmetler hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmıştır Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Bilişsel Hizmetler hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği iyiler. Daha fazla bilgi için: https://aka.ms/cs/auth . Denetim, Reddet, Devre Dışı 1.0.0
Api Uygulamanıza yönetilen kimlik kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Disabled 2.0.0
İşlev Uygulamanıza yönetilen kimlik kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Disabled 2.0.0
Yönetilen kimlik Web Uygulamanıza kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Disabled 2.0.0
Aboneliğinizde yazma izinleri olan hesaplarda MFA etkinleştirilmelidir Hesap veya kaynak ihlallerini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesapları için Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Disabled 3.0.0
Aboneliğiniz üzerinde sahip izinlerine sahip hesaplarda MFA etkinleştirilmelidir Hesap veya kaynak ihlallerini önlemek için sahip izinlerine sahip olan tüm abonelik hesapları için Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Disabled 3.0.0
Aboneliğiniz üzerinde okuma izinlerine sahip hesaplarda MFA etkinleştirilmelidir Hesap veya kaynak ihlallerini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesapları için Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Disabled 3.0.0
Service Fabric kümeler istemci kimlik doğrulaması için Azure Active Directory kimlik doğrulamasını kullan olmalıdır İstemci kimlik doğrulamasının kullanımını yalnızca Azure Active Directory Service Fabric Denetim, Reddet, Devre Dışı 1.1.0
Yönetim sertifikaları yerine aboneliklerinizi korumak için hizmet sorumluları kullanılmalıdır Yönetim sertifikaları, kimlik doğrulaması yapan herkesin ilişkili olduğu abonelikleri yönetmesine olanak sağlar. Abonelikleri daha güvenli bir şekilde yönetmek için sertifika güvenliğinin Resource Manager hizmet sorumlularının kullanılması önerilir. AuditIfNotExists, Disabled 1.0.0

Ayrıcalıklı Hesaplara Ağ Erişimi

Kimlik: FedRAMP Orta IA-2 (1)

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Aboneliğinizde yazma izinleri olan hesaplarda MFA etkinleştirilmelidir Hesap veya kaynak ihlallerini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesapları için Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Disabled 3.0.0
Aboneliğiniz üzerinde sahip izinlerine sahip hesaplarda MFA etkinleştirilmelidir Hesap veya kaynak ihlallerini önlemek için sahip izinlerine sahip olan tüm abonelik hesapları için Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Disabled 3.0.0

Ayrıcalıklı Olmayan Hesaplara Ağ Erişimi

Kimlik: FedRAMP Orta IA-2 (2)

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Aboneliğiniz üzerinde okuma izinlerine sahip hesaplarda MFA etkinleştirilmelidir Hesap veya kaynak ihlallerini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesapları için Multi-Factor Authentication (MFA) etkinleştirilmelidir. AuditIfNotExists, Disabled 3.0.0

Tanımlayıcı Yönetimi

Kimlik: FedRAMP Orta IA-4

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Azure Active Directory için bir yönetici sağ SQL gerekir Azure AD kimlik doğrulamasını etkinleştirmek Azure Active Directory için SQL bir yöneticinin sağlamasını denetleme. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer kullanıcıların basitleştirilmiş izin yönetimine ve merkezi kimlik yönetimine olanak Microsoft hizmetleri AuditIfNotExists, Disabled 1.0.0
Bilişsel Hizmetler hesaplarında yerel kimlik doğrulama yöntemleri devre dışı bırakılmıştır Yerel kimlik doğrulama yöntemlerini devre dışı bırakmak, Bilişsel Hizmetler hesaplarının yalnızca kimlik doğrulaması için Azure Active Directory kimlikleri gerektirmesini sağlayarak güvenliği iyiler. Daha fazla bilgi için: https://aka.ms/cs/auth . Denetim, Reddet, Devre Dışı 1.0.0
Api Uygulamanıza yönetilen kimlik kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Disabled 2.0.0
İşlev Uygulamanıza yönetilen kimlik kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Disabled 2.0.0
Yönetilen kimlik Web Uygulamanıza kullanılmalıdır Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma AuditIfNotExists, Disabled 2.0.0
Service Fabric kümeler istemci kimlik doğrulaması için Azure Active Directory kimlik doğrulamasını kullan olmalıdır İstemci kimlik doğrulamasının kullanımını yalnızca Azure Active Directory Service Fabric Denetim, Reddet, Devre Dışı 1.1.0
Yönetim sertifikaları yerine aboneliklerinizi korumak için hizmet sorumluları kullanılmalıdır Yönetim sertifikaları, kimlik doğrulaması yapan herkesin ilişkili olduğu abonelikleri yönetmesine olanak sağlar. Abonelikleri daha güvenli bir şekilde yönetmek için sertifika güvenliğinin Resource Manager hizmet sorumlularının kullanılması önerilir. AuditIfNotExists, Disabled 1.0.0

Authenticator Yönetimi

Kimlik: FedRAMP Orta IA-5

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Kimlikleri olmayan sanal makinelerde Konuk Yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimliği olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılamadan önce makinelere eklenmiştir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. değiştir 1.0.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılamadan önce makinelere eklenmiştir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. değiştir 1.0.0
Passwd dosya izinleri 0644 olarak ayarlan yapmayan Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Passwd dosya izinlerine sahip olmayan Linux makineleri 0644 olarak ayarlanmışsa makineler uyumlu değildir AuditIfNotExists, Disabled 1.0.0
Ters Windows kullanarak parola depolamayan sanal makineleri denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Ters çevrilebilir şifreleme Windows depolanmazsa makineler uyumlu değildir AuditIfNotExists, Disabled 1.0.0
Linux makinelerde kimlik doğrulaması için SSH anahtarları gerekir SSH şifreli bağlantı sağlar ancak parolaların SSH ile birlikte kullanımı vm'yi deneme yanılma saldırılarına karşı savunmasız bırakır. SSH üzerinden Azure Linux sanal makinesine kimlik doğrulama için en güvenli seçenek, SSH anahtarları olarak da bilinen ortak-özel anahtar çiftidir. Daha fazla bilgi: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed . AuditIfNotExists, Disabled 2.0.1
Sertifikalar belirtilen en yüksek geçerlilik süresine sahip olmalıdır Bir sertifikanın anahtar kasanız içinde geçerli olduğu en uzun süre miktarını belirterek kurumsal uyumluluk gereksinimlerinizi yönetin. denetim, reddetme, devre dışı 2.1.0-önizleme
Linux VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma Bu ilke, Linux Konuk Yapılandırması uzantısını Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen Linux sanal makinelerine dağıtır. Linux Konuk Yapılandırması uzantısı tüm Linux Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanılarak önce makinelere dağıtılacaktır. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. deployIfNotExists 1.0.1
Sanal Windows konuk yapılandırma atamalarını etkinleştirmek için Konuk Yapılandırması uzantısını Windows dağıtın Bu ilke, Windows Yapılandırması uzantısını Azure'Windows barındırılan ve Konuk Yapılandırması tarafından desteklenen sanal makinelere dağıtır. Konuk Windows uzantısı, tüm konuk Windows atamaları için bir önkoşuldur ve herhangi bir konuk konuk yapılandırması ilke tanımı Windows makinelere dağıtılacaktır. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. deployIfNotExists 1.0.1
Key Vault anahtarların sona erme tarihi olmalıdır Şifreleme anahtarları tanımlı bir sona erme tarihine sahip olmalı ve kalıcı olmalıdır. Sonsuza kadar geçerli olan anahtarlar, olası bir saldırganın anahtarın güvenliğini tehlikeye atabilmesi için daha fazla zaman sağlar. Şifreleme anahtarlarına süre sonu tarihleri ayarlamak önerilen bir güvenlik uygulamasıdır. Denetim, Reddet, Devre Dışı 1.0.2
Key Vault gizli dizilerinin sona erme tarihi olmalıdır Gizli diziler tanımlı bir sona erme tarihine sahip olmalı ve kalıcı olmalıdır. Sonsuza kadar geçerli olan gizli diziler olası bir saldırganın güvenliğini tehlikeye atabilmesi için daha fazla zaman sağlar. Gizli dizilerde sona erme tarihleri ayarlamak önerilen bir güvenlik uygulamasıdır. Denetim, Reddet, Devre Dışı 1.0.2

Parola Tabanlı Kimlik Doğrulaması

Kimlik: FedRAMP Orta IA-5 (1)

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Kimlikleri olmayan sanal makinelerde Konuk Yapılandırma atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimliği olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılamadan önce makinelere eklenmiştir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. değiştir 1.0.0
Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Konuk Yapılandırması ilke tanımı kullanılamadan önce makinelere eklenmiştir. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. değiştir 1.0.0
Passwd dosya izinleri 0644 olarak ayarlan yapmayan Linux makinelerini denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Passwd dosya izinlerine sahip olmayan Linux makineleri 0644 olarak ayarlanmışsa makineler uyumlu değildir AuditIfNotExists, Disabled 1.0.0
Önceki Windows 24 parolanın yeniden kullanımına olanak sağlayan sanal makineleri denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Önceki 24 parolanın Windows izin verecek makineleri kullanıyorsanız makineler uyumlu değildir AuditIfNotExists, Disabled 1.0.0
En Windows parola yaşı 70 gün olan makineleri denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. En fazla 70 Windows süresi olmayan makinelerde makineler uyumlu değildir AuditIfNotExists, Disabled 1.0.0
En Windows 1 günlük parola yaşına sahip olan makineleri denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. En az 1 Windows parolaya sahip olmayan makineler uyumlu değildir AuditIfNotExists, Disabled 1.0.0
Parola Windows ayarının etkinleştirilmemiş olduğu makineleri denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Parola karmaşıklık ayarı Windows makineleriniz varsa makineler uyumlu değildir AuditIfNotExists, Disabled 1.0.0
Parola Windows en az 14 karakterle kısıtlamamış makineleri denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. En az parola uzunluğu Windows 14 karakterle sınırlayan makineler uyumlu değildir AuditIfNotExists, Disabled 1.0.0
Ters Windows kullanarak parola depolamayan sanal makineleri denetleme Önkoşulların ilke atama kapsamına dağıtılmasını gerektirir. Ayrıntılar için ziyaret https://aka.ms/gcpol edin. Ters çevrilebilir şifreleme Windows depolanmazsa makineler uyumlu değildir AuditIfNotExists, Disabled 1.0.0
Linux VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma Bu ilke, Linux Konuk Yapılandırması uzantısını Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen Linux sanal makinelerine dağıtır. Linux Konuk Yapılandırması uzantısı tüm Linux Konuk Yapılandırması atamaları için önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanılarak önce makinelere dağıtılacaktır. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. deployIfNotExists 1.0.1
Sanal Windows konuk yapılandırma atamalarını etkinleştirmek için Konuk Yapılandırması uzantısını Windows dağıtın Bu ilke, Windows Yapılandırması uzantısını Azure'Windows barındırılan ve Konuk Yapılandırması tarafından desteklenen sanal makinelere dağıtır. Konuk Windows uzantısı, tüm konuk Windows atamaları için bir önkoşuldur ve herhangi bir konuk konuk yapılandırması ilke tanımı Windows makinelere dağıtılacaktır. Konuk Yapılandırması hakkında daha fazla bilgi için ziyaret https://aka.ms/gcpol edin. deployIfNotExists 1.0.1

Olay Yanıtı

Olay İşleme

Kimlik: FedRAMP Orta IR-4

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Azure Defender için App Service etkinleştirilmelidir Azure Defender için App Service, yaygın web uygulaması saldırılarını izlemek için bulutun ölçeğini ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüğü kullanır. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Azure SQL Veritabanı etkinleştirilmelidir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltmaya, SQL veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevsellik sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender kayıt defterleri için kayıt defterleri etkinleştirilmelidir Azure Defender kayıt defterleri için güvenlik açığı taraması, son 30 gün içinde çekilen, kayıt defterinize aktarılan veya içeri aktarılan tüm görüntülerin güvenlik açığı taraması sağlar ve görüntü başına ayrıntılı bulguları ortaya çıkarır. AuditIfNotExists, Disabled 1.0.3
Azure Defender DNS için yapılandırma etkinleştirilmelidir Azure Defender, Azure kaynaklarından gelen tüm DNS sorgularını sürekli olarak izerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender DNS katmanında şüpheli etkinlik hakkında sizi uyarıyor. DNS için ağ bağlantılarının özellikleri hakkında daha Azure Defender için https://aka.ms/defender-for-dns bkz. . Bu Azure Defender etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0-önizleme
Azure Defender için Key Vault etkinleştirilmelidir Azure Defender için Key Vault, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayan ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Disabled 1.0.3
Kubernetes için Azure Defender etkinleştirilmelidir Kubernetes için Azure Defender kapsayıcılı ortamlar için gerçek zamanlı tehdit koruması sağlar ve şüpheli etkinlikler için uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Resource Manager etkinleştirilmelidir Azure Defender için Resource Manager, kuruluşta kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarıyor. Uygulamanın özellikleri hakkında daha fazla bilgi Azure Defender için https://aka.ms/defender-for-resource-manager Resource Manager. Bu planı etkinleştirmek Azure Defender ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender için yapılandırma etkinleştirilmelidir Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve hem sağlamlaştırma önerileri hem de şüpheli etkinliklerle ilgili uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender makinelerde SQL sunucuların etkinleştirilmesi gerekir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltma SQL ya, veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevler sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender için SQL korumasız Azure depolama sunucuları için SQL gerekir Gelişmiş SQL olmadan sunucularını denetleme AuditIfNotExists, Disabled 2.0.1
Azure Defender için SQL, Korumasız Yönetilen Örneklerde SQL etkinleştirilmelidir Her yönetilen SQL gelişmiş veri güvenliği olmadan denetleme. AuditIfNotExists, Disabled 1.0.2
Azure Defender için Depolama etkinleştirilmelidir Azure Defender için Depolama, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve potansiyel olarak zararlı girişimlerin algılamalarını sağlar. AuditIfNotExists, Disabled 1.0.3
Yüksek önem derecesine sahip uyarılar için e-posta bildirimi etkinleştirilmelidir Aboneliklerinizin birsinde olası bir güvenlik ihlali olduğunda, kuruluşta ilgili kişilerin bildirime sahip olduğundan emin olmak için Güvenlik Merkezi'nde yüksek önem derecesine sahip uyarılar için e-posta bildirimlerini etkinleştirin. AuditIfNotExists, Disabled 1.0.1
Yüksek önem derecesine sahip uyarılar için abonelik sahibine e-posta bildiriminin etkinleştirilmesi gerekir Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizi bilgilendirmesini sağlamak için Güvenlik Merkezi'nde yüksek önem derecesine sahip uyarılar için abonelik sahiplerine e-posta bildirimleri ayarlayın. AuditIfNotExists, Disabled 2.0.0
Aboneliklerin güvenlik sorunları için bir iletişim e-posta adresi olması gerekir Aboneliklerinizin birsinde olası bir güvenlik ihlali olduğunda, kuruluşta ilgili kişilerin bilgi edinilmesi için Güvenlik Merkezi'nde e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. AuditIfNotExists, Disabled 1.0.1

Olay İzleme

Kimlik: FedRAMP Orta IR-5

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Azure Defender için App Service etkinleştirilmelidir Azure Defender için App Service, yaygın web uygulaması saldırılarını izlemek için bulutun ölçeğini ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüğü kullanır. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Azure SQL Veritabanı etkinleştirilmelidir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltma SQL ya, veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevler sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender kayıt defterleri için kayıt defterleri etkinleştirilmelidir Azure Defender kayıt defterleri için güvenlik açığı taraması, son 30 gün içinde çekilen, kayıt defterinize aktarılan veya içeri aktarılan tüm görüntülerin güvenlik açığı taraması sağlar ve görüntü başına ayrıntılı bulguları ortaya çıkarır. AuditIfNotExists, Disabled 1.0.3
Azure Defender DNS için yapılandırma etkinleştirilmelidir dns Azure Defender, Azure kaynaklarından gelen tüm DNS sorgularını sürekli olarak izerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender DNS katmanında şüpheli etkinlik hakkında sizi uyarıyor. DNS için ağ bağlantılarının özellikleri hakkında daha Azure Defender için https://aka.ms/defender-for-dns bkz. . Bu planı etkinleştirmek Azure Defender ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0-önizleme
Azure Defender için Key Vault etkinleştirilmelidir Azure Defender için Key Vault, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayan ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Disabled 1.0.3
Kubernetes için Azure Defender etkinleştirilmelidir Kubernetes için Azure Defender kapsayıcılı ortamlar için gerçek zamanlı tehdit koruması sağlar ve şüpheli etkinlikler için uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Resource Manager etkinleştirilmelidir Azure Defender, Resource Manager kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarıyor. Uygulamanın özellikleri hakkında daha fazla bilgi Azure Defender için https://aka.ms/defender-for-resource-manager Resource Manager. Bu planı etkinleştirmek Azure Defender ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender için yapılandırma etkinleştirilmelidir Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve hem sağlamlaştırma önerileri hem de şüpheli etkinliklerle ilgili uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender makinelerde SQL sunucuların etkinleştirilmesi gerekir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltma SQL ya, veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevler sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender için SQL korumasız Azure depolama sunucuları için SQL gerekir Gelişmiş SQL olmadan sunucularını denetleme AuditIfNotExists, Disabled 2.0.1
Azure Defender için SQL, Korumasız Yönetilen Örneklerde SQL etkinleştirilmelidir Her yönetilen SQL gelişmiş veri güvenliği olmadan denetleme. AuditIfNotExists, Disabled 1.0.2
Azure Defender için Depolama etkinleştirilmelidir Azure Defender için Depolama, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve potansiyel olarak zararlı girişimlerin algılamalarını sağlar. AuditIfNotExists, Disabled 1.0.3
Yüksek önem derecesine sahip uyarılar için e-posta bildirimi etkinleştirilmelidir Aboneliklerinizin birsinde olası bir güvenlik ihlali olduğunda, kuruluşta ilgili kişilerin bildirime sahip olduğundan emin olmak için Güvenlik Merkezi'nde yüksek önem derecesine sahip uyarılar için e-posta bildirimlerini etkinleştirin. AuditIfNotExists, Disabled 1.0.1
Yüksek önem derecesine sahip uyarılar için abonelik sahibine e-posta bildiriminin etkinleştirilmesi gerekir Aboneliklerinde olası bir güvenlik ihlali olduğunda abonelik sahiplerinizi bilgilendirmesini sağlamak için Güvenlik Merkezi'nde yüksek önem derecesine sahip uyarılar için abonelik sahiplerine e-posta bildirimleri ayarlayın. AuditIfNotExists, Disabled 2.0.0
Aboneliklerin güvenlik sorunları için bir iletişim e-posta adresi olması gerekir Aboneliklerinizin birsinde olası bir güvenlik ihlali olduğunda, kuruluşta ilgili kişilerin bilgi edinilmesi için Güvenlik Merkezi'nde e-posta bildirimleri alacak bir güvenlik kişisi ayarlayın. AuditIfNotExists, Disabled 1.0.1

Risk Değerlendirmesi

Güvenlik Açığı Tarama

Kimlik: FedRAMP Orta RA-5

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Sanal makineleriniz üzerinde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırma olduklarını algılamak için sanal makineleri kontrol eder. Her siber risk ve güvenlik programının temel bileşenleri arasında güvenlik açıklarının belirlenmesi ve analizi yer alıyor. Azure Güvenlik Merkezi fiyatlandırma katmanı, sanal makineleriniz için ek ücret ödemeden güvenlik açığı taraması içerir. Ayrıca, Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilirsiniz. AuditIfNotExists, Disabled 3.0.0
Azure Defender için App Service etkinleştirilmelidir Azure Defender için App Service, yaygın web uygulaması saldırılarını izlemek için bulutun ölçeğini ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüğü kullanır. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Azure SQL Veritabanı etkinleştirilmelidir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltmaya, SQL veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevsellik sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender kayıt defterleri için kayıt defterleri etkinleştirilmelidir Azure Defender kayıt defterleri için güvenlik açığı taraması, son 30 gün içinde çekilen, kayıt defterinize aktarılan veya içeri aktarılan tüm görüntülerin güvenlik açığı taraması sağlar ve görüntü başına ayrıntılı bulguları ortaya çıkarır. AuditIfNotExists, Disabled 1.0.3
Azure Defender DNS için yapılandırma etkinleştirilmelidir Azure Defender, Azure kaynaklarından gelen tüm DNS sorgularını sürekli olarak izerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender DNS katmanında şüpheli etkinlik hakkında sizi uyarıyor. DNS için ağ bağlantılarının özellikleri hakkında daha Azure Defender için https://aka.ms/defender-for-dns bkz. . Bu Azure Defender etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0-önizleme
Azure Defender için Key Vault etkinleştirilmelidir Azure Defender için Key Vault, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayan ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Disabled 1.0.3
Kubernetes için Azure Defender etkinleştirilmelidir Kubernetes için Azure Defender kapsayıcılı ortamlar için gerçek zamanlı tehdit koruması sağlar ve şüpheli etkinlikler için uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Resource Manager etkinleştirilmelidir Azure Defender için Resource Manager, kuruluşta kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarıyor. Uygulamanın özellikleri hakkında daha fazla bilgi Azure Defender için https://aka.ms/defender-for-resource-manager Resource Manager. Bu Azure Defender etkinleştirilmesi ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender için yapılandırma etkinleştirilmelidir Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve hem sağlamlaştırma önerileri hem de şüpheli etkinliklerle ilgili uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender makinelerde SQL sunucuların etkinleştirilmesi gerekir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltmaya, SQL veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevsellik sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender için SQL korumasız Azure depolama sunucuları için SQL gerekir Gelişmiş SQL olmadan sunucuları denetleme AuditIfNotExists, Disabled 2.0.1
Azure Defender için SQL, Korumasız Yönetilen Örneklerde SQL etkinleştirilmelidir Her yönetilen SQL gelişmiş veri güvenliği olmadan denetleme. AuditIfNotExists, Disabled 1.0.2
Azure Defender için Depolama etkinleştirilmelidir Azure Defender için Depolama, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimlerin algılamalarını sağlar. AuditIfNotExists, Disabled 1.0.3
SQL veritabanlarında güvenlik açığı bulguları çözümlenmiş olmalıdır Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleme. AuditIfNotExists, Disabled 4.0.0
SQL sunucuların güvenlik açığı bulguları çözümlenmiş olması gerekir SQL güvenlik açığı değerlendirmesi veritabanınızı güvenlik açıkları için tarar ve yanlış yapılandırmalar, aşırı izinler ve korumasız hassas veriler gibi en iyi yöntemlerden sapmaları gösterir. Bulunan güvenlik açıklarının çözülmesi, veritabanı güvenlik duruşlarınızı önemli ölçüde geliştirebilir. AuditIfNotExists, Disabled 1.0.0
Görüntü Azure Container Registry güvenlik açıkları düzeltildi Kapsayıcı görüntüsü güvenlik açığı değerlendirmesi, kayıt defterinize her bir kapsayıcı görüntüsüyle ilgili güvenlik açıklarını tarar ve her görüntüye ilişkin ayrıntılı bulguları (Qualys tarafından desteklenen) ortaya çıkarır. Güvenlik açıklarını çözmek, kapsayıcıların güvenlik duruşlarını önemli ölçüde geliştirebilir ve bunları saldırılara karşı koruyabilir. AuditIfNotExists, Disabled 2.0.0
Kapsayıcı güvenliği yapılandırmalarında güvenlik açıkları düzeltildi Docker'ın yüklü olduğu makinelerde güvenlik yapılandırmasında güvenlik açıklarını denetle ve bu makinelerde öneriler olarak Azure Güvenlik Merkezi. Auditınotexists, devre dışı 3.0.0
Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir Yapılandırılmış temeli karşılamayan sunucular, Azure Güvenlik Merkezi tarafından öneriler olarak izlenir Auditınotexists, devre dışı 3.0.0
Sanal makine ölçek kümelerinizin güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir Saldırılara karşı korumak için sanal makine ölçek kümelerinizin üzerindeki işletim sistemi güvenlik açıklarını denetleyin. Auditınotexists, devre dışı 3.0.0
güvenlik açığı değerlendirmesi SQL yönetilen örnekte etkinleştirilmelidir yinelenen güvenlik açığı değerlendirmesi taramaları etkinleştirilmemiş olan SQL yönetilen her örneği denetleyin. Güvenlik açığı değerlendirmesi, olası veritabanı güvenlik açıklarını düzeltmenizi, izleyebilir ve yardımcı olabilir. Auditınotexists, devre dışı 1.0.1
güvenlik açığı değerlendirmesi SQL sunucularınızda etkinleştirilmelidir yinelenen güvenlik açığı değerlendirmesi taramaları etkin olmayan Azure SQL sunucularını denetleyin. Güvenlik açığı değerlendirmesi, olası veritabanı güvenlik açıklarını düzeltmenizi, izleyebilir ve yardımcı olabilir. Auditınotexists, devre dışı 2.0.0
SYNAPSE çalışma alanlarınızdaki güvenlik açığı değerlendirmesi etkinleştirilmelidir Synapse çalışma alanlarınızda yinelenen SQL güvenlik açığı değerlendirme taramalarını yapılandırarak olası güvenlik açıklarını bulun, izleyin ve düzeltin. Auditınotexists, devre dışı 1.0.0

Sistem ve Iletişim koruması

Hizmet reddi koruması

Kimlik: fedrampa orta SC-5

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Azure DDoS koruma standardı etkinleştirilmelidir Genel bir IP ile uygulama ağ geçidinin parçası olan bir alt ağa sahip tüm sanal ağlar için DDoS koruma standardı etkinleştirilmelidir. Auditınotexists, devre dışı 3.0.0
Sanal makinenizde IP Iletimi devre dışı bırakılmalıdır Bir sanal makinenin NIC 'inde IP iletmeyi etkinleştirmek, makinenin diğer hedeflere adreslenen trafiği almasına izin verir. IP iletimi nadiren gereklidir (örneğin, VM 'yi bir ağ sanal gereci olarak kullanırken) ve bu nedenle ağ güvenlik ekibi tarafından incelenmelidir. Auditınotexists, devre dışı 3.0.0
Web uygulaması güvenlik duvarı (WAF) Application Gateway için etkinleştirilmelidir Gelen trafiğin ek incelemesi için genel kullanıma yönelik Web uygulamalarının önünde Azure Web uygulaması güvenlik duvarını (WAF) dağıtın. web uygulaması güvenlik duvarı (waf), web uygulamalarınızın SQL ınjec, siteler arası betik oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın güvenlik açıklarından ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Web uygulamalarınıza erişimi, özel kurallar aracılığıyla ülkeler, IP adresi aralıkları ve diğer http (s) parametreleriyle de kısıtlayabilirsiniz. Denetim, reddetme, devre dışı 1.0.1
Azure ön kapı hizmeti hizmeti için Web uygulaması güvenlik duvarı (WAF) etkinleştirilmelidir Gelen trafiğin ek incelemesi için genel kullanıma yönelik Web uygulamalarının önünde Azure Web uygulaması güvenlik duvarını (WAF) dağıtın. web uygulaması güvenlik duvarı (waf), web uygulamalarınızın SQL ınjec, siteler arası betik oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın güvenlik açıklarından ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Web uygulamalarınıza erişimi, özel kurallar aracılığıyla ülkeler, IP adresi aralıkları ve diğer http (s) parametreleriyle de kısıtlayabilirsiniz. Denetim, reddetme, devre dışı 1.0.1

Sınır koruması

Kimlik: fedrampa orta SC-7

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Uyarlamalı ağ sağlamlaştırma önerileri internet 'e yönelik sanal makinelere uygulanmalıdır Azure Güvenlik Merkezi, Internet 'e yönelik sanal makinelerin trafik düzenlerini analiz eder ve olası saldırı yüzeyini azaltan ağ güvenlik grubu kuralı önerileri sağlar Auditınotexists, devre dışı 3.0.0
Tüm Internet trafiği, dağıtılan Azure Güvenlik duvarınız aracılığıyla yönlendirilmelidir Azure Güvenlik Merkezi, bazı alt ağlarınızın bir sonraki nesil güvenlik duvarı ile korunmuyor olduğunu belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarı ile erişimi kısıtlayarak alt ağlarınızı olası tehditlere karşı koruyun Auditınotexists, devre dışı 3.0.0-Önizleme
Tüm ağ bağlantı noktaları, sanal makineniz ile ilişkili ağ güvenlik gruplarında sınırlandırılmalıdır Azure Güvenlik Merkezi, bazı ağ güvenlik gruplarınızı gelen kurallarınızı çok fazla izin verecek şekilde tanımladı. Gelen kurallar ' any ' veya ' Internet ' aralıklarından erişime izin vermez. Bu, saldırganların kaynaklarınızı hedeflemesini sağlayabilir. Auditınotexists, devre dışı 3.0.0
API Management hizmetler bir sanal ağ kullanmalıdır Azure sanal ağ dağıtımı, gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz internet 'e yönlendirilebilen bir ağa yerleştirmenizi sağlar. Bu ağlar daha sonra çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir ve bu da ağ içinde ve/veya şirket içi hizmetlerinize erişim sağlar. Geliştirici portalı ve API ağ geçidi, Internet 'ten ya da yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. Denetim, devre dışı 1.0.1
Uygulama yapılandırması özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinizdeki eşleştirerek, veri sızıntısı risklerine karşı de korunacaktır. Daha fazla bilgi: https://aka.ms/appconfig/private-endpoint . Auditınotexists, devre dışı 1.0.2
Yetkili IP aralıkları, Kubernetes hizmetlerinde tanımlanmalıdır Yalnızca belirli aralıklardaki IP adreslerine API erişimi vererek Kubernetes Hizmet Yönetim API'si erişimi kısıtlayın. Yalnızca izin verilen ağların içindeki uygulamaların kümeye erişebildiğinden emin olmak için yetkilendirilmiş IP aralıklarına erişimi sınırlandırmamak önerilir. Denetim, devre dışı 2.0.1
FHıR için Azure API 'SI özel bağlantı kullanmalıdır FHIR için Azure API 'SI, en az bir onaylanan özel uç nokta bağlantısına sahip olmalıdır. Bir sanal ağdaki istemciler özel bağlantı noktası bağlantılarına sahip kaynaklara güvenli şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink . Denetim, devre dışı 1.0.0
Redsıs için Azure önbelleği özel bağlantı kullanmalıdır Özel uç noktalar, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redsıs örnekleri için Azure önbelleğinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link . Auditınotexists, devre dışı 1.0.0
Azure Bilişsel Arama hizmeti, özel bağlantıyı destekleyen bir SKU kullanmalıdır Desteklenen Azure Bilişsel Arama SKU 'Larında, Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları arama hizmetinize eşleyerek, veri sızıntısı riskleri azalır. Daha fazla bilgi: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Denetim, reddetme, devre dışı 1.0.0
Azure Bilişsel Arama Hizmetleri ortak ağ erişimini devre dışı bırakmalıdır Ortak ağ erişiminin devre dışı bırakılması, Azure Bilişsel Arama hizmetinizin genel İnternet 'te açık olmamasını sağlayarak güvenliği geliştirir. Özel uç noktalar oluşturma, arama hizmetinizin görünürlüğünü sınırlayabilir. Daha fazla bilgi: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Denetim, reddetme, devre dışı 1.0.0
Azure Bilişsel Arama Hizmetleri özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Denetim, devre dışı 1.0.0
Azure Cosmos DB hesapların güvenlik duvarı kuralları olmalıdır yetkisiz kaynaklardan gelen trafiği engellemek için güvenlik duvarı kuralları Azure Cosmos DB hesaplarınız üzerinde tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralına sahip hesaplara uyumlu olduğu kabul edilir. Ortak erişimi devre dışı bırakan hesaplar da uyumlu olarak kabul edilir. Denetim, reddetme, devre dışı 2.0.0
Azure Data Factory özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/data-factory/data-factory-private-link . Auditınotexists, devre dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine Event Grid etki alanına eşleyerek, veri sızıntısı risklerine karşı de korunacaktır. Daha fazla bilgi: https://aka.ms/privateendpoints . Denetim, devre dışı 1.0.2
Azure Event Grid konular özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine Event Grid konu başlığında eşleyerek veri sızıntısı risklerine karşı de korunacaktır. Daha fazla bilgi: https://aka.ms/privateendpoints . Denetim, devre dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır belirtilen Depolama eşitleme hizmeti kaynağı için özel bir uç nokta oluşturulması, internet erişimli ortak uç nokta yerine kuruluşunuzun ağının özel ıp adresi alanından Depolama eşitleme hizmeti kaynağınızı adresetmenize olanak tanır. Özel bir uç noktanın kendi başına oluşturulması, genel uç noktayı devre dışı bırakmaz. Auditınotexists, devre dışı 1.0.0
Azure Key Vault ortak ağ erişimini devre dışı bırakmalıdır Ortak internet üzerinden erişilememesi için anahtar kasanıza yönelik genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı riskini azaltabilir. Daha fazla bilgi: https://aka.ms/akvprivatelink . Denetim, reddetme, devre dışı 2.0.0-Önizleme
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link . Denetim, reddetme, devre dışı 1.1.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. özel uç noktaları Service Bus ad alanlarına eşleyerek, veri sızıntısı riskleri azalır. Daha fazla bilgi: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service . Auditınotexists, devre dışı 1.0.0
Azure SignalR hizmeti özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine Azure SignalR hizmeti kaynağına eşleyerek, veri sızıntısı risklerinizi azaltabilirsiniz. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://aka.ms/asrs/privatelink . Denetim, reddetme, devre dışı 1.0.1
Azure SYNAPSE çalışma alanları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure SYNAPSE çalışma alanına eşleyerek veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links . Denetim, devre dışı 1.0.1
Azure Web PubSub hizmeti özel bağlantı kullanmalıdır Azure özel bağlantısı, sanal ağlarınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Web PubSub hizmetinize eşleyerek, veri sızıntısı risklerini azaltabilirsiniz. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://aka.ms/awps/privatelink . Denetim, reddetme, devre dışı 1.0.0
Bilişsel Hizmetler hesaplarının genel ağ erişimini devre dışı bırakması gerekir Genel ağ erişimini devre dışı bırakmak, Bilişsel Hizmetler hesabının genel İnternet'e açık kalmamalarını sağlayarak güvenliği artırıyor. Özel uç noktalar oluşturmak Bilişsel Hizmetler hesabının açıklarını sınırlayıcı olabilir. Daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2129800 . Denetim, Reddet, Devre Dışı 2.0.0
Bilişsel Hizmetler hesapları ağ erişimini kısıtlamalı Bilişsel Hizmetler hesaplarına ağ erişimi kısıtlanmış olmalıdır. Bilişsel Hizmetler hesabına yalnızca izin verilen ağlardan erişecek şekilde ağ kurallarını yapılandırma. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarına gelen trafiğe erişim izni verebilirsiniz. Denetim, Reddet, Devre Dışı 2.0.0
Bilişsel Hizmetler özel bağlantı kullanlı Azure Özel Bağlantı sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerinize bağlamanıza olanak sağlar. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları Bilişsel Hizmetler'e eşleerek veri sızıntısı riskini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2129800 . Denetim, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri kısıtlanmamış ağ erişimine izin vermeli Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağ üzerinde konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlere karşı korumak için yalnızca belirli genel IP adreslerinden veya adres aralıklarından erişime izin verme. Kayıt defterinizin IP/güvenlik duvarı kuralı veya yapılandırılmış bir sanal ağı yoksa, iyi olmayan kaynaklarda görünür. Ağ kuralları hakkında daha Container Registry burada ve https://aka.ms/acr/portal/public-network burada https://aka.ms/acr/vnet öğrenebilirsiniz. Denetim, Reddet, Devre Dışı 1.1.0
Kapsayıcı kayıt defterleri özel bağlantı kullanlı Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşlerken veri sızıntısı risklerine karşı da koruma altına alırnız. Daha fazla bilgi için: https://aka.ms/acr/private-link . Denetim, Devre Dışı 1.0.1
CosmosDB hesaplarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları CosmosDB hesabınıza eşlenince veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints . Denetim, Devre Dışı 1.0.0
Disk erişimi kaynaklarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları diskAccess'lere eşlerken veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/disksprivatelinksdoc . AuditIfNotExists, Disabled 1.0.0
Olay Hub'ı ad alanları özel bağlantı kullanacaktır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları Event Hub ad alanlarına eşlenince veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service . AuditIfNotExists, Disabled 1.0.0
İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik grupları (NSG) ile sanal makinelerinize erişimi kısıtlayan olası tehditlere karşı koruma. NSG'lerle trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
IoT Hub sağlama hizmeti örneklerinin özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları cihaz sağlama IoT Hub eşlerken veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/iotdpsvnet . Denetim, Devre Dışı 1.0.0
Sanal makinenize IP Iletme devre dışı bırakılmıştır Bir sanal makinenin NIC'sini IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönelik trafiği alamalarına olanak sağlar. IP iletme nadiren gereklidir (örneğin, VM'yi ağ sanal gereç olarak kullanırken) ve bu nedenle ağ güvenlik ekibi tarafından gözden geçir geçiri. AuditIfNotExists, Disabled 3.0.0
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır Olası tam zamanında ağ (JIT) erişimi, öneriler olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Disabled 3.0.0
Sanal makineleriniz üzerinde yönetim bağlantı noktaları kapatılacak Açık uzaktan yönetim bağlantı noktaları, VM'nizi İnternet tabanlı saldırılara karşı yüksek düzeyde risk altında gösterir. Bu saldırılar makineye yönetici erişimi elde etmek için kimlik bilgilerine deneme yanılma girişiminde bulunmaktadır. AuditIfNotExists, Disabled 3.0.0
İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır ağ güvenlik grupları (NSG) ile erişimi kısıtlayan İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlere karşı koruyun. NSG'lerle trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Azure SQL Veritabanı özel uç nokta bağlantıları etkinleştirilmelidir Özel uç nokta bağlantıları, bağlantı noktalarına özel bağlantı sağlayarak güvenli Azure SQL Veritabanı. Denetim, Devre Dışı 1.1.0
Özel uç nokta, özel uç nokta için Key Vault Özel bağlantı, trafiği genel Key Vault göndermeden Azure kaynaklarınıza bağlamak için bir yol sağlar. Özel bağlantı, veri sızıntılarına karşı derinlemesine savunma sağlar. Denetim, Reddet, Devre Dışı 1.1.0-önizleme
MariaDB sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, bağlantı noktalarına özel bağlantı sağlayarak güvenli MariaDB için Azure Veritabanı. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırma. AuditIfNotExists, Disabled 1.0.2
MySQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, bağlantı noktalarına özel bağlantı sağlayarak güvenli MySQL için Azure Veritabanı. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırın. Auditınotexists, devre dışı 1.0.2
PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, PostgreSQL için Azure veritabanı 'na özel bağlantı etkinleştirerek güvenli iletişim uygular. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure içinde olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırın. Auditınotexists, devre dışı 1.0.2
Azure SQL Veritabanı genel ağ erişimi devre dışı bırakılmalıdır ortak ağ erişimi özelliğinin devre dışı bırakılması, Azure SQL Veritabanı yalnızca özel bir uç noktadan erişilebilmesini sağlayarak güvenliği geliştirir. Bu yapılandırma IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açmaları engeller. Denetim, reddetme, devre dışı 1.1.0
MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak için ortak ağ erişim özelliğini devre dışı bırakın ve MariaDB için Azure veritabanınızın yalnızca özel bir uç noktadan erişilebildiğinden emin olun. Bu yapılandırma, Azure IP aralığı dışındaki tüm ortak adres alanından erişimi tamamen devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açmaları reddeder. Denetim, devre dışı 1.0.2
MySQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak için ortak ağ erişim özelliğini devre dışı bırakın ve MySQL için Azure veritabanınızın yalnızca özel bir uç noktadan erişilebildiğinden emin olun. Bu yapılandırma, Azure IP aralığı dışındaki tüm ortak adres alanından erişimi tamamen devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açmaları reddeder. Denetim, devre dışı 1.0.2
PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmalıdır Güvenliği artırmak için ortak ağ erişim özelliğini devre dışı bırakın ve PostgreSQL için Azure veritabanınızın yalnızca özel bir uç noktadan erişilebildiğinden emin olun. Bu yapılandırma, Azure IP aralığı dışındaki tüm ortak adres alanından erişimi devre dışı bırakır ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşleşen tüm oturum açmaları reddeder. Denetim, devre dışı 1.0.2
Depolama hesabı genel erişimine izin verilmemelidir Azure Depolama içindeki kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur, ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimden kaynaklanan veri ihlallerinin oluşmasını önlemek için, Microsoft, senaryolarınız için gerekli olmadığı takdirde bir depolama hesabına genel erişimi engellemeyi önerir. Denetim, reddetme, devre dışı 3.0.1-Önizleme
Depolama hesapların ağ erişimini kısıtlanması gerekir Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Ağ kurallarını, yalnızca izin verilen ağların uygulamalarının depolama hesabına erişebilmesi için yapılandırın. Belirli internet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarına yönelik trafiğe erişim verilebilir Denetim, reddetme, devre dışı 1.1.1
Depolama hesapların sanal ağ kurallarını kullanarak ağ erişimini kısıtlanması gerekir Sanal ağ kurallarını kullanarak, IP tabanlı filtreleme yerine tercih edilen bir yöntem olarak depolama hesaplarınızı olası tehditlere karşı koruyun. IP tabanlı filtrelemenin devre dışı bırakılması, genel IP 'Lerin depolama hesaplarınıza erişmesini önler. Denetim, reddetme, devre dışı 1.0.1
Depolama hesapların özel bağlantı kullanması gerekir Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları depolama hesabınıza eşleyerek, veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi edinin https://aka.ms/azureprivatelinkoverview Auditınotexists, devre dışı 2.0.0
Alt ağlar bir ağ güvenlik grubuyla ilişkilendirilmelidir Ağ güvenlik grubu (NSG) ile erişimi kısıtlayarak alt ağınızı olası tehditlere karşı koruyun. NSG 'ler, alt ağınıza ağ trafiğine izin veren veya reddeden Access Control listesi (ACL) kurallarının bir listesini içerir. Auditınotexists, devre dışı 3.0.0
VM görüntü Oluşturucu şablonlarının özel bağlantı kullanması gerekir Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları VM görüntü Oluşturucu kaynak oluşturmaya eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet . Denetim, devre dışı, reddetme 1.1.0
Web uygulaması güvenlik duvarı (WAF) Application Gateway için etkinleştirilmelidir Gelen trafiğin ek incelemesi için genel kullanıma yönelik Web uygulamalarının önünde Azure Web uygulaması güvenlik duvarını (WAF) dağıtın. web uygulaması güvenlik duvarı (waf), web uygulamalarınızın SQL ınjec, siteler arası betik oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın güvenlik açıklarından ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Web uygulamalarınıza erişimi, özel kurallar aracılığıyla ülkeler, IP adresi aralıkları ve diğer http (s) parametreleriyle de kısıtlayabilirsiniz. Denetim, reddetme, devre dışı 1.0.1
Azure ön kapı hizmeti hizmeti için Web uygulaması güvenlik duvarı (WAF) etkinleştirilmelidir Gelen trafiğin ek incelemesi için genel kullanıma yönelik Web uygulamalarının önünde Azure Web uygulaması güvenlik duvarını (WAF) dağıtın. web uygulaması güvenlik duvarı (waf), web uygulamalarınızın SQL ınjec, siteler arası betik oluşturma, yerel ve uzak dosya yürütmeleri gibi yaygın güvenlik açıklarından ve güvenlik açıklarından merkezi bir şekilde korunmasını sağlar. Web uygulamalarınıza erişimi, özel kurallar aracılığıyla ülkeler, IP adresi aralıkları ve diğer http (s) parametreleriyle de kısıtlayabilirsiniz. Denetim, reddetme, devre dışı 1.0.1

Erişim noktaları

Kimlik: fedraorta SC-7 (3)

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Uyarlamalı ağ sağlamlaştırma önerileri internet 'e yönelik sanal makinelere uygulanmalıdır Azure Güvenlik Merkezi, Internet 'e yönelik sanal makinelerin trafik düzenlerini analiz eder ve olası saldırı yüzeyini azaltan ağ güvenlik grubu kuralı önerileri sağlar Auditınotexists, devre dışı 3.0.0
Tüm Internet trafiği, dağıtılan Azure Güvenlik duvarınız aracılığıyla yönlendirilmelidir Azure Güvenlik Merkezi, bazı alt ağlarınızın bir sonraki nesil güvenlik duvarı ile korunmuyor olduğunu belirledi. Azure Güvenlik Duvarı veya desteklenen bir yeni nesil güvenlik duvarı ile erişimi kısıtlayarak alt ağlarınızı olası tehditlere karşı koruyun Auditınotexists, devre dışı 3.0.0-Önizleme
Tüm ağ bağlantı noktaları, sanal makineniz ile ilişkili ağ güvenlik gruplarında sınırlandırılmalıdır Azure Güvenlik Merkezi, bazı ağ güvenlik gruplarınızı gelen kurallarınızı çok fazla izin verecek şekilde tanımladı. Gelen kurallar ' any ' veya ' Internet ' aralıklarından erişime izin vermez. Bu, saldırganların kaynaklarınızı hedeflemesini sağlayabilir. Auditınotexists, devre dışı 3.0.0
API Management hizmetler bir sanal ağ kullanmalıdır Azure sanal ağ dağıtımı, gelişmiş güvenlik, yalıtım sağlar ve API Management hizmetinizi erişimi denetlediğiniz internet 'e yönlendirilebilen bir ağa yerleştirmenizi sağlar. Bu ağlar daha sonra çeşitli VPN teknolojileri kullanılarak şirket içi ağlarınıza bağlanabilir ve bu da ağ içinde ve/veya şirket içi hizmetlerinize erişim sağlar. Geliştirici portalı ve API ağ geçidi, Internet 'ten ya da yalnızca sanal ağ içinden erişilebilir olacak şekilde yapılandırılabilir. Denetim, devre dışı 1.0.1
Uygulama yapılandırması özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine uygulama yapılandırma örneklerinizdeki eşleştirerek, veri sızıntısı risklerine karşı de korunacaktır. Daha fazla bilgi: https://aka.ms/appconfig/private-endpoint . Auditınotexists, devre dışı 1.0.2
Yetkili IP aralıkları, Kubernetes hizmetlerinde tanımlanmalıdır Yalnızca belirli aralıklardaki IP adreslerine API erişimi vererek Kubernetes Hizmet Yönetim API'si erişimi kısıtlayın. Yalnızca izin verilen ağların içindeki uygulamaların kümeye erişebildiğinden emin olmak için yetkilendirilmiş IP aralıklarına erişimi sınırlandırmamak önerilir. Denetim, devre dışı 2.0.1
FHıR için Azure API 'SI özel bağlantı kullanmalıdır FHIR için Azure API 'SI, en az bir onaylanan özel uç nokta bağlantısına sahip olmalıdır. Bir sanal ağdaki istemciler özel bağlantı noktası bağlantılarına sahip kaynaklara güvenli şekilde erişebilir. Daha fazla bilgi için şu adresi ziyaret edin: https://aka.ms/fhir-privatelink . Denetim, devre dışı 1.0.0
Redsıs için Azure önbelleği özel bağlantı kullanmalıdır Özel uç noktalar, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel uç noktaları Redsıs örnekleri için Azure önbelleğinize eşleyerek veri sızıntısı riskleri azalır. Daha fazla bilgi: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link . Auditınotexists, devre dışı 1.0.0
Azure Bilişsel Arama hizmeti, özel bağlantıyı destekleyen bir SKU kullanmalıdır Desteklenen Azure Bilişsel Arama SKU 'Larında, Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları arama hizmetinize eşleyerek, veri sızıntısı riskleri azalır. Daha fazla bilgi: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Denetim, reddetme, devre dışı 1.0.0
Azure Bilişsel Arama Hizmetleri ortak ağ erişimini devre dışı bırakmalıdır Ortak ağ erişiminin devre dışı bırakılması, Azure Bilişsel Arama hizmetinizin genel İnternet 'te açık olmamasını sağlayarak güvenliği geliştirir. Özel uç noktalar oluşturma, arama hizmetinizin görünürlüğünü sınırlayabilir. Daha fazla bilgi: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Denetim, reddetme, devre dışı 1.0.0
Azure Bilişsel Arama Hizmetleri özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Bilişsel Arama eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://aka.ms/azure-cognitive-search/inbound-private-endpoints . Denetim, devre dışı 1.0.0
Azure Cosmos DB hesapların güvenlik duvarı kuralları olmalıdır yetkisiz kaynaklardan gelen trafiği engellemek için güvenlik duvarı kuralları Azure Cosmos DB hesaplarınız üzerinde tanımlanmalıdır. Sanal ağ filtresi etkin olarak tanımlanmış en az bir IP kuralına sahip hesaplara uyumlu olduğu kabul edilir. Ortak erişimi devre dışı bırakan hesaplar da uyumlu olarak kabul edilir. Denetim, reddetme, devre dışı 2.0.0
Azure Data Factory özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları Azure Data Factory eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/data-factory/data-factory-private-link . Auditınotexists, devre dışı 1.0.0
Azure Event Grid etki alanları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine Event Grid etki alanına eşleyerek, veri sızıntısı risklerine karşı de korunacaktır. Daha fazla bilgi: https://aka.ms/privateendpoints . Denetim, devre dışı 1.0.2
Azure Event Grid konular özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. Özel uç noktaları tüm hizmet yerine Event Grid konu başlığında eşleyerek veri sızıntısı risklerine karşı de korunacaktır. Daha fazla bilgi: https://aka.ms/privateendpoints . Denetim, devre dışı 1.0.2
Azure Dosya Eşitleme özel bağlantı kullanmalıdır belirtilen Depolama eşitleme hizmeti kaynağı için özel bir uç nokta oluşturulması, internet erişimli ortak uç nokta yerine kuruluşunuzun ağının özel ıp adresi alanından Depolama eşitleme hizmeti kaynağınızı adresetmenize olanak tanır. Özel bir uç noktanın kendi başına oluşturulması, genel uç noktayı devre dışı bırakmaz. Auditınotexists, devre dışı 1.0.0
Azure Key Vault ortak ağ erişimini devre dışı bırakmalıdır Ortak internet üzerinden erişilememesi için anahtar kasanıza yönelik genel ağ erişimini devre dışı bırakın. Bu, veri sızıntısı riskini azaltabilir. Daha fazla bilgi: https://aka.ms/akvprivatelink . Denetim, reddetme, devre dışı 2.0.0-Önizleme
Azure Machine Learning çalışma alanları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. özel uç noktaları Azure Machine Learning çalışma alanlarına eşleyerek, veri sızıntısı riskleri azalır. Şu adreste özel bağlantılar hakkında daha fazla bilgi edinin: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link . Denetim, reddetme, devre dışı 1.1.0
Azure Service Bus ad alanları özel bağlantı kullanmalıdır Azure özel bağlantısı, Sanal ağınızı kaynak veya hedefte genel bir IP adresi olmadan Azure hizmetlerine bağlamanıza olanak tanır. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı işler. özel uç noktaları Service Bus ad alanlarına eşleyerek, veri sızıntısı riskleri azalır. Daha fazla bilgi: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service . Auditınotexists, devre dışı 1.0.0
Azure SignalR Hizmeti özel bağlantı kullan Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları hizmetin tamamı Azure SignalR Hizmeti kaynak kaynağınıza eşleerek veri sızıntısı risklerinizi azaltmış oluruz. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/asrs/privatelink . Denetim, Reddet, Devre Dışı 1.0.1
Azure Synapse çalışma alanlarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları çalışma alanıyla Azure Synapse veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links . Denetim, Devre Dışı 1.0.1
Azure Web PubSub Hizmeti özel bağlantı kullanlı Azure Özel Bağlantı sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerinize bağlamanıza olanak sağlar. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları Azure Web PubSub Hizmetinize eşleerek veri sızıntısı risklerini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/awps/privatelink . Denetim, Reddet, Devre Dışı 1.0.0
Bilişsel Hizmetler hesaplarının genel ağ erişimini devre dışı bırakması gerekir Genel ağ erişimini devre dışı bırakmak, Bilişsel Hizmetler hesabının genel İnternet'e açık kalmamalarını sağlayarak güvenliği artırıyor. Özel uç noktalar oluşturmak Bilişsel Hizmetler hesabının açıklarını sınırlayıcı olabilir. Daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2129800 . Denetim, Reddet, Devre Dışı 2.0.0
Bilişsel Hizmetler hesapları ağ erişimini kısıtlamalı Bilişsel Hizmetler hesaplarına ağ erişimi kısıtlanmış olmalıdır. Bilişsel Hizmetler hesabına yalnızca izin verilen ağlardan erişecek şekilde ağ kurallarını yapılandırma. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarına gelen trafiğe erişim izni verebilirsiniz. Denetim, Reddet, Devre Dışı 2.0.0
Bilişsel Hizmetler özel bağlantı kullanlı Azure Özel Bağlantı sanal ağlarınızı kaynak veya hedefte genel IP adresi olmadan Azure hizmetlerinize bağlamanıza olanak sağlar. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları Bilişsel Hizmetler'e eşleerek veri sızıntısı riskini azaltabilirsiniz. Özel bağlantılar hakkında daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2129800 . Denetim, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri kısıtlanmamış ağ erişimine izin vermeli Azure kapsayıcı kayıt defterleri varsayılan olarak herhangi bir ağ üzerinde konaklardan İnternet üzerinden bağlantıları kabul eder. Kayıt defterlerinizi olası tehditlere karşı korumak için yalnızca belirli genel IP adreslerinden veya adres aralıklarından erişime izin verme. Kayıt defterinizin IP/güvenlik duvarı kuralı veya yapılandırılmış bir sanal ağı yoksa, iyi olmayan kaynaklarda görünür. Ağ kuralları hakkında daha Container Registry burada ve https://aka.ms/acr/portal/public-network burada https://aka.ms/acr/vnet öğrenebilirsiniz. Denetim, Reddet, Devre Dışı 1.1.0
Kapsayıcı kayıt defterleri özel bağlantı kullanlı Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel bağlantı platformu, Azure omurga ağı üzerinden tüketici ve hizmetler arasındaki bağlantıyı ele alır. Özel uç noktaları hizmetin tamamı yerine kapsayıcı kayıt defterlerinize eşlerken veri sızıntısı risklerine karşı da koruma altına alırnız. Daha fazla bilgi için: https://aka.ms/acr/private-link . Denetim, Devre Dışı 1.0.1
CosmosDB hesaplarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları CosmosDB hesabınıza eşlenince veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints . Denetim, Devre Dışı 1.0.0
Disk erişimi kaynaklarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları diskAccess'lere eşlerken veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/disksprivatelinksdoc . AuditIfNotExists, Disabled 1.0.0
Olay Hub'ı ad alanları özel bağlantı kullanacaktır Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları Event Hub ad alanlarına eşlenince veri sızıntısı riskleri azalır. Daha fazla bilgi için: https://docs.microsoft.com/azure/event-hubs/private-link-service . AuditIfNotExists, Disabled 1.0.0
İnternet'e yönelik sanal makineler ağ güvenlik gruplarıyla korunmalıdır Ağ güvenlik grupları (NSG) ile sanal makinelerinize erişimi kısıtlayan olası tehditlere karşı koruma. NSG'lerle trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
IoT Hub sağlama hizmeti örneklerinin özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynak veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları cihaz sağlama IoT Hub eşlerken veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://aka.ms/iotdpsvnet . Denetim, Devre Dışı 1.0.0
Sanal makinenize IP Iletme devre dışı bırakılmıştır Bir sanal makinenin NIC'sini IP iletmeyi etkinleştirmek, makinenin diğer hedeflere yönelik trafiği alamalarına olanak sağlar. IP iletme nadiren gereklidir (örneğin, VM'yi ağ sanal gereç olarak kullanırken) ve bu nedenle ağ güvenlik ekibi tarafından gözden geçir geçiri. AuditIfNotExists, Disabled 3.0.0
Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır Olası tam zamanında ağ (JIT) erişimi, öneriler olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Disabled 3.0.0
Sanal makineleriniz üzerinde yönetim bağlantı noktaları kapatılacak Açık uzaktan yönetim bağlantı noktaları, VM'nizi İnternet tabanlı saldırılara karşı yüksek düzeyde risk altında gösterir. Bu saldırılar makineye yönetici erişimi elde etmek için kimlik bilgilerine deneme yanılma girişiminde bulunmaktadır. AuditIfNotExists, Disabled 3.0.0
İnternet'e yönelik olmayan sanal makineler ağ güvenlik gruplarıyla korunmalıdır ağ güvenlik grupları (NSG) ile erişimi kısıtlayan İnternet'e yönelik olmayan sanal makinelerinizi olası tehditlere karşı koruyun. NSG'lerle trafiği denetleme hakkında daha fazla bilgi için https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Bağlantı noktalarında özel Azure SQL Veritabanı bağlantılarının etkinleştirilmesi gerekir Özel uç nokta bağlantıları, bağlantı noktalarına özel bağlantı sağlayarak güvenli Azure SQL Veritabanı. Denetim, Devre Dışı 1.1.0
Özel uç nokta, özel uç nokta için Key Vault Özel bağlantı, trafiği genel Key Vault göndermeden Azure kaynaklarınıza bağlamak için bir yol sağlar. Özel bağlantı, veri sızıntılarına karşı derinlemesine savunma sağlar. Denetim, Reddet, Devre Dışı 1.1.0-önizleme
MariaDB sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, güvenli iletişim için özel bağlantı sağlayarak güvenli MariaDB için Azure Veritabanı. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırma. AuditIfNotExists, Disabled 1.0.2
MySQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, bağlantı noktalarına özel bağlantı sağlayarak güvenli MySQL için Azure Veritabanı. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırma. AuditIfNotExists, Disabled 1.0.2
PostgreSQL sunucuları için özel uç nokta etkinleştirilmelidir Özel uç nokta bağlantıları, bağlantı noktalarına özel bağlantı sağlayarak güvenli PostgreSQL için Azure Veritabanı. Yalnızca bilinen ağlardan gelen trafiğe erişimi etkinleştirmek ve Azure dahil olmak üzere diğer tüm IP adreslerinden erişimi engellemek için özel bir uç nokta bağlantısı yapılandırma. AuditIfNotExists, Disabled 1.0.2
Ağ üzerinde genel Azure SQL Veritabanı devre dışı bırakılmıştır Genel ağ erişim özelliğinin devre dışı bırakılması, uygulamanıza yalnızca Azure SQL Veritabanı uç noktadan erişilene kadar güvenliği artırmaktadır. Bu yapılandırma, IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşan tüm oturum açma bilgilerini engeller. Denetim, Reddet, Devre Dışı 1.1.0
MariaDB sunucuları için genel ağ erişimi devre dışı bırakılmıştır Güvenliği artırmak için genel ağ erişim özelliğini devre dışı bırakma ve MariaDB için Azure Veritabanı erişime yalnızca özel bir uç noktadan erişile olduğundan emin olun. Bu yapılandırma, Azure IP aralığı dışındaki tüm genel adres alanlarına erişimi kesinlikle devre dışı verir ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşan tüm oturum açma bilgilerini geri alır. Denetim, Devre Dışı 1.0.2
MySQL sunucuları için genel ağ erişimi devre dışı bırakılmıştır Güvenliği artırmak için genel ağ erişim özelliğini devre dışı bırakma ve MySQL için Azure Veritabanı erişime yalnızca özel bir uç noktadan erişile olduğundan emin olun. Bu yapılandırma, Azure IP aralığı dışındaki tüm genel adres alanlarına erişimi kesinlikle devre dışı verir ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşan tüm oturum açma bilgilerini geri alır. Denetim, Devre Dışı 1.0.2
PostgreSQL sunucuları için genel ağ erişimi devre dışı bırakılmıştır Güvenliği artırmak için genel ağ erişim özelliğini devre dışı bırakma ve PostgreSQL için Azure Veritabanı erişime yalnızca özel bir uç noktadan erişile olduğundan emin olun. Bu yapılandırma, Azure IP aralığı dışındaki tüm genel adres alanlarından erişimi devre dışı verir ve IP veya sanal ağ tabanlı güvenlik duvarı kurallarıyla eşan tüm oturum açma bilgilerini geri alır. Denetim, Devre Dışı 1.0.2
Depolama hesabı genel erişimine izin verilmiyor Azure Depolama'daki kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yolu olabilir ancak güvenlik riskleri de olabilir. Microsoft, adsız erişimden kaynaklanan veri ihlallerini önlemek için senaryo için gerekli olmadıkça depolama hesabına genel erişimin önlenmesini önerer. denetim, reddetme, devre dışı 3.0.1-önizleme
Depolama hesaplarının ağ erişimini kısıtlaması gerekir Depolama hesaplarına ağ erişimi kısıtlanmış olmalıdır. Ağ kurallarını yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişecek şekilde yapılandırma. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarına gelen trafiğe erişim izni verebilirsiniz Denetim, Reddet, Devre Dışı 1.1.1
Depolama hesaplarının sanal ağ kurallarını kullanarak ağ erişimini kısıtlaması gerekir IP tabanlı filtreleme yerine tercih edilen yöntem olarak sanal ağ kurallarını kullanarak depolama hesaplarınızı olası tehditlere karşı koruyun. IP tabanlı filtrelemeyi devre dışı bırakmak, genel IP'lerin depolama hesaplarınıza erişmesini önler. Denetim, Reddet, Devre Dışı 1.0.1
Depolama hesapların özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynakta veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları depolama hesabınıza eşlerken veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: - https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Alt ağlar bir Ağ Güvenlik Grubu ile ilişkilendirilmalıdır Bir Ağ Güvenlik Grubu (NSG) ile alt ağına erişimi kısıtlayan olası tehditlere karşı koruma. NSG'ler, alt Access Control ağ trafiğine izin vermek veya bunu reddetmek için KullanılanLar Listesi (ACL) kurallarının bir listesini içerir. AuditIfNotExists, Disabled 3.0.0
VM Görüntü Oluşturucu şablonlarının özel bağlantı kullanması gerekir Azure Özel Bağlantı, kaynakta veya hedefte genel IP adresi olmadan sanal ağın Azure hizmetleriyle bağlantı kurabilirsiniz. Özel Bağlantı platformu, Tüketici ile hizmetler arasındaki bağlantıyı Azure omurga ağı üzerinden ele alır. Özel uç noktaları VM Görüntü Oluşturucusu oluşturma kaynaklarınıza eşleerek veri sızıntısı riskleri azalır. Özel bağlantılar hakkında daha fazla bilgi için: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet . Denetim, Devre Dışı, Reddet 1.1.0
Web Uygulaması Güvenlik Duvarı (WAF) Application Gateway Gelen Azure Web Uygulaması Güvenlik Duvarı ek inceleme için genel web uygulamalarının önünde bir web uygulaması (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızı uygulama ekleme, SiteLer Arası Betik, yerel ve uzak dosya yürütme gibi yaygın açıklardan SQL güvenlik açıklarına karşı merkezi koruma sağlar. Özel kurallar aracılığıyla web uygulamalarınıza erişimi ülkeler, IP adresi aralıkları ve diğer http parametrelerine göre de kısıtabilirsiniz. Denetim, Reddet, Devre Dışı 1.0.1
Web Uygulaması Güvenlik Duvarı (WAF) Azure Front Door Service etkinleştirilmelidir Gelen Azure Web Uygulaması Güvenlik Duvarı ek inceleme için genel web uygulamalarının önünde bir web uygulaması (WAF) dağıtın. Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızı uygulama ekleme, SiteLer Arası Betik, yerel ve uzak dosya yürütme gibi yaygın açıklardan SQL güvenlik açıklarına karşı merkezi koruma sağlar. Özel kurallar aracılığıyla web uygulamalarınıza erişimi ülkeler, IP adresi aralıkları ve diğer http parametrelerine göre de kısıtabilirsiniz. Denetim, Reddet, Devre Dışı 1.0.1

İletim Gizliliği ve Bütünlüğü

Kimlik: FedRAMP Orta SC-8

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
API Uygulamasına yalnızca HTTPS üzerinden erişilebilir olması gerekir HTTPS kullanımı sunucu/hizmet kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Denetim, Devre Dışı 1.0.0
Azure HDInsight kümeler, küme düğümleri arasındaki iletişimi şifrelemek için Azure HDInsight kullan Veriler, küme düğümleri arasında iletim Azure HDInsight kurcalanmış olabilir. Aktarım sırasında şifrelemenin etkinleştirilmesi, bu iletim sırasında kötüye kullanım ve kurcalama sorunlarını çözmektedir. Denetim, Reddet, Devre Dışı 1.0.0
MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılın MySQL için Azure Veritabanı, MySQL için Azure Veritabanı (SSL) kullanarak istemci uygulamalarına Güvenli Yuva Katmanı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu kullanmak, sunucu ile uygulamanız arasındaki veri akışını şifrelerken 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, veritabanı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorunlu hale gelir. Denetim, Devre Dışı 1.0.1
PostgreSQL veritabanı sunucuları için SSL bağlantısını zorunlu kılın PostgreSQL için Azure Veritabanı, PostgreSQL için Azure Veritabanı (SSL) kullanarak istemci uygulamalarına Güvenli Yuva Katmanı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu kullanmak, sunucu ile uygulamanız arasındaki veri akışını şifrelerken 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, veritabanı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorunlu hale gelir. Denetim, Devre Dışı 1.0.1
FTPS yalnızca API Uygulamanıza gerekli olabilir Gelişmiş güvenlik için FTPS zorlamayı etkinleştirme AuditIfNotExists, Disabled 2.0.0
FTPS yalnızca İşlev Uygulamanıza gerekli olabilir Gelişmiş güvenlik için FTPS zorlamayı etkinleştirme AuditIfNotExists, Disabled 2.0.0
Web Uygulamanıza FTPS gerekir Gelişmiş güvenlik için FTPS zorlamayı etkinleştirme AuditIfNotExists, Disabled 2.0.0
İşlev Uygulamasına yalnızca HTTPS üzerinden erişilebilir olması gerekir HTTPS kullanımı sunucu/hizmet kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Denetim, Devre Dışı 1.0.0
Kubernetes kümelerini yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Bu özellik şu anda Kubernetes Service (AKS) için genel kullanıma sunulmaktadır ve AKS Engine ve Azure Arc Kubernetes için önizlemededir. Daha fazla bilgi için ziyaret edin https://aka.ms/kubepolicydoc denetim, reddetme, devre dışı 6.0.0
API Uygulamanıza en son TLS sürümü kullanılmalıdır En son TLS sürümüne yükseltme AuditIfNotExists, Disabled 1.0.0
İşlev Uygulamanıza en son TLS sürümü kullanılmalıdır En son TLS sürümüne yükseltme AuditIfNotExists, Disabled 1.0.0
Web Uygulamanıza en son TLS sürümü kullanılmalıdır En son TLS sürümüne yükseltme AuditIfNotExists, Disabled 1.0.0
Yalnızca bağlantınıza güvenli Redis için Azure Cache etkinleştirilmesi gerekir Yalnızca SSL aracılığıyla Redis için Azure Cache. Güvenli bağlantıların kullanılması, sunucu ile hizmet arasında kimlik doğrulaması sağlar ve ortadaki adam, dinleme ve oturum ele geçirerek gibi ağ katmanı saldırılarına karşı geçiş verilerini korur Denetim, Reddet, Devre Dışı 1.0.0
Depolama hesaplarına güvenli aktarım etkinleştirilmelidir Depolama hesabınıza Güvenli aktarım gereksinimini denetleme. Güvenli aktarım, depolama hesabınıza yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlar. HTTPS kullanımı, sunucu ile hizmet arasında kimlik doğrulaması sağlar ve aktarımdaki verileri ortadaki adam, dinleme ve oturum ele geçirerek gibi ağ katmanı saldırılarından korur Denetim, Reddet, Devre Dışı 2.0.0
Web Uygulamasına yalnızca HTTPS üzerinden erişilebilir olması gerekir HTTPS kullanımı sunucu/hizmet kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Denetim, Devre Dışı 1.0.0
Windows web sunucularının güvenli iletişim protokollerini kullanmak üzere yapılandırılması gerekir İnternet üzerinden iletilen bilgilerin gizliliğini korumak için, web sunucularınız endüstri standardı şifreleme protokolü Olan Aktarım Katmanı Güvenliği'nin (TLS) en son sürümünü kullanmıştır. TLS, makineler arasındaki bağlantıyı şifrelemek için güvenlik sertifikalarını kullanarak ağ üzerinden iletişimin güvenliğini sağlar. AuditIfNotExists, Disabled 3.0.0

Şifreleme veya Alternatif Fiziksel Koruma

Kimlik: FedRAMP Orta SC-8 (1)

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
API Uygulamasına yalnızca HTTPS üzerinden erişilebilir olması gerekir HTTPS kullanımı sunucu/hizmet kimlik doğrulamasını sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. Denetim, Devre Dışı 1.0.0
Azure HDInsight kümeler, küme düğümleri arasındaki iletişimi şifrelemek için Azure HDInsight kullan Veriler, küme düğümleri arasında iletim Azure HDInsight kurcalanmış olabilir. Aktarım sırasında şifrelemenin etkinleştirilmesi, bu iletim sırasında kötüye kullanım ve kurcalama sorunlarını çözmektedir. Denetim, Reddet, Devre Dışı 1.0.0
MySQL veritabanı sunucuları için SSL bağlantısını zorunlu kılın MySQL için Azure Veritabanı, MySQL için Azure Veritabanı (SSL) kullanarak istemci uygulamalarına Güvenli Yuva Katmanı destekler. Veritabanı sunucunuzla istemci uygulamalarınız arasında SSL bağlantılarını zorunlu kullanmak, sunucu ile uygulamanız arasındaki veri akışını şifrelerken 'ortadaki adam' saldırılarına karşı korumaya yardımcı olur. Bu yapılandırma, veritabanı sunucunuza erişmek için SSL'nin her zaman etkin olduğunu zorunlu hale gelir. Denetim, devre dışı 1.0.1
PostgreSQL veritabanı sunucuları için SSL bağlantısını zorla etkinleştirilmelidir PostgreSQL için Azure veritabanı, PostgreSQL için Azure veritabanı sunucunuzu Güvenli Yuva Katmanı (SSL) kullanarak istemci uygulamalarına bağlamayı destekler. Veritabanı sunucunuz ile istemci uygulamalarınız arasında SSL bağlantılarını zorunlu tutma, sunucu ile uygulamanız arasındaki veri akışını şifreleyerek, ortadaki adam saldırılarına karşı korunmaya yardımcı olur. Bu yapılandırma, veritabanı sunucunuza erişmek için SSL 'nin her zaman etkinleştirilmesini zorunlu kılar. Denetim, devre dışı 1.0.1
FTPS yalnızca API uygulamanızda gerekli olmalıdır Gelişmiş güvenlik için FTPS zorlamayı etkinleştirin Auditınotexists, devre dışı 2.0.0
FTPS yalnızca İşlev Uygulaması gerekli olmalıdır Gelişmiş güvenlik için FTPS zorlamayı etkinleştirin Auditınotexists, devre dışı 2.0.0
Web uygulamanızda FTPS gerekli olmalıdır Gelişmiş güvenlik için FTPS zorlamayı etkinleştirin Auditınotexists, devre dışı 2.0.0
İşlev Uygulaması yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, sunucu/hizmet kimlik doğrulamasını sağlar ve ağ katmanı gizlice dinleme saldırılarına karşı geçiş sırasında verileri korur. Denetim, devre dışı 1.0.0
Kubernetes kümelerine yalnızca HTTPS üzerinden erişilebilir olması gerekir HTTPS kullanımı, kimlik doğrulamasını sağlar ve ağ katmanı gizlice dinleme saldırılarına karşı yoldaki verileri korur. Bu özellik şu anda Kubernetes hizmeti (AKS) için genel kullanıma sunulmuştur ve AKS altyapısının ve Azure Arc 'ın etkinleştirilmiş Kubernetes için önizleme aşamasındadır. Daha fazla bilgi için şu adresi ziyaret edin https://aka.ms/kubepolicydoc Denetim, reddetme, devre dışı 6.0.0
API uygulamanızda en son TLS sürümü kullanılmalıdır En son TLS sürümüne yükselt Auditınotexists, devre dışı 1.0.0
İşlev Uygulaması en son TLS sürümü kullanılmalıdır En son TLS sürümüne yükselt Auditınotexists, devre dışı 1.0.0
Web uygulamanızda en son TLS sürümü kullanılmalıdır En son TLS sürümüne yükselt Auditınotexists, devre dışı 1.0.0
Redsıs için yalnızca Azure önbelleğinize güvenli bağlantılar etkinleştirilmelidir Redsıs için yalnızca SSL ile SSL aracılığıyla bağlantıların etkinleştirilmesini denetleme. Güvenli bağlantı kullanımı, sunucu ve hizmet arasında kimlik doğrulaması sağlar ve geçiş sırasında ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarına karşı verileri korur Denetim, reddetme, devre dışı 1.0.0
Depolama hesaplarına güvenli aktarım etkinleştirilmelidir Depolama hesabınızda güvenli aktarım gereksinimini denetleyin. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) istekleri kabul edecek şekilde zorlayan bir seçenektir. HTTPS kullanımı, sunucu ile hizmet arasında kimlik doğrulaması sağlar ve geçiş sırasında ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarına karşı verileri korur Denetim, reddetme, devre dışı 2.0.0
Web uygulaması yalnızca HTTPS üzerinden erişilebilir olmalıdır HTTPS kullanımı, sunucu/hizmet kimlik doğrulamasını sağlar ve ağ katmanı gizlice dinleme saldırılarına karşı geçiş sırasında verileri korur. Denetim, devre dışı 1.0.0
Windows web sunucularının güvenli iletişim protokollerini kullanacak şekilde yapılandırılması gerekir Internet üzerinden iletilen bilgilerin gizliliğini korumak için web sunucularınız, sektör standardı şifreleme protokolü 'nün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasında bir bağlantıyı şifrelemek için güvenlik sertifikalarını kullanarak bir ağ üzerinden iletişimin güvenliğini sağlar. Auditınotexists, devre dışı 3.0.0

Şifreleme anahtarı kurulumu ve yönetimi

Kimlik: fedrampa orta SC-12

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
FHıR için Azure API 'SI, bekleyen verileri şifrelemek için müşteri tarafından yönetilen bir anahtar kullanmalıdır Bu bir düzenleme veya uyum gereksinimidir FHıR için Azure API 'sinde depolanan verilerin geri kalanında şifrelemeyi denetlemek için müşteri tarafından yönetilen bir anahtar kullanın. Müşteri tarafından yönetilen anahtarlar Ayrıca, hizmet tarafından yönetilen anahtarlarla varsayılan olarak en üstüne bir şifreleme katmanı ekleyerek Çift şifreleme sağlar. Denetim, devre dışı 1.0.1
Azure Otomasyonu hesapları, bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Azure Otomasyonu hesaplarınızın geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar yaygın olarak gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin oluşturulmuş ve sizin tarafınızdan sahip olduğu bir Azure Key Vault anahtarla şifrelenmesini sağlar. Anahtar yaşam döngüsü için, döndürme ve yönetim de dahil olmak üzere tam denetim ve sorumluluğa sahipsiniz. Daha fazla bilgi edinin [https://aka.ms/automation-cmk](../../../automation/automation-secure-asset-encryption.md#:~:text=Secure assets in Azure Automation include credentials, certificates, connections,,Using Microsoft-managed keys) . Denetim, reddetme, devre dışı 1.0.0
Azure Batch hesap, verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Batch hesabınızın verilerinin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar yaygın olarak gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin oluşturulmuş ve sizin tarafınızdan sahip olduğu bir Azure Key Vault anahtarla şifrelenmesini sağlar. Anahtar yaşam döngüsü için, döndürme ve yönetim de dahil olmak üzere tam denetim ve sorumluluğa sahipsiniz. Daha fazla bilgi edinin https://aka.ms/Batch-CMK . Denetim, reddetme, devre dışı 1.0.1
Azure Container Instance kapsayıcı grubu, şifreleme için müşteri tarafından yönetilen anahtarı kullanmalıdır Müşteri tarafından yönetilen anahtarları kullanarak kapsayıcılarınızın güvenliğini daha fazla esneklik sağlar. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanılması, anahtar şifreleme anahtarının dönüşünü denetlemek veya şifreli olarak verileri silmek için ek yetenekler sağlar. Denetim, devre dışı, reddetme 1.0.0
Azure Cosmos DB hesaplar, bekleyen verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanmalıdır Azure Cosmos DB geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler hizmet tarafından yönetilen anahtarlarla birlikte şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için müşteri tarafından yönetilen anahtarlar genellikle gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve size ait Azure Key Vault bir anahtarla şifrelenmelerini sağlar. Döndürme ve yönetim de dahil olmak üzere anahtar yaşam döngüsü üzerinde tam denetim ve sorumluluk size aittir. daha fazla bilgi için: https://aka.ms/cosmosdb-cmk . denetim, reddetme, devre dışı 1.0.2
Azure Data Box, cihazın kilit açma parolasını şifrelemek için müşteri tarafından yönetilen bir anahtar kullan gerekir Cihaz kilidini açma parolasının şifrelerini kontrol etmek için müşteri tarafından yönetilen bir anahtar Azure Data Box. Müşteri tarafından yönetilen anahtarlar, cihazı hazırlamak ve verileri otomatik bir şekilde kopyalamak için Data Box hizmet tarafından cihaz kilidini açma parolası erişiminin yönetimine de yardımcı olur. Cihazın kendi verileri 256 bit şifreleme ile Gelişmiş Şifreleme Standardı zaten şifrelenir ve cihaz kilidini açma parolası varsayılan olarak Microsoft tarafından yönetilen bir anahtarla şifrelenir. Denetim, Reddet, Devre Dışı 1.0.0
Azure Veri Gezgini şifreleme için müşteri tarafından yönetilen bir anahtar kullan gerekir Azure Veri Gezgini kümeniz üzerinde müşteri tarafından yönetilen bir anahtar kullanarak beklemede şifrelemeyi etkinleştirmek, beklemede şifreleme tarafından kullanılan anahtar üzerinde ek denetim sağlar. Bu özellik genellikle özel uyumluluk gereksinimlerine sahip müşteriler için geçerlidir ve anahtarların Key Vault bir hizmet gerektirir. Denetim, Reddet, Devre Dışı 1.0.0
Azure veri fabrikaları müşteri tarafından yönetilen bir anahtarla şifrelenmeli Müşteri tarafından yönetilen anahtarları kullanarak şifrelemeyi geri kalan Azure Data Factory. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak mevzuat uyumluluğu standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve size ait Azure Key Vault bir anahtarla şifrelenmelerini sağlar. Döndürme ve yönetim de dahil olmak üzere anahtar yaşam döngüsü üzerinde tam denetim ve sorumluluk size aittir. daha fazla bilgi için: https://aka.ms/adf-cmk . Denetim, Reddet, Devre Dışı 1.0.1
Azure HDInsight kümelerin, verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanması gerekir Kümenizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen Azure HDInsight kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak mevzuat uyumluluğu standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve size ait Azure Key Vault bir anahtarla şifrelenmelerini sağlar. Döndürme ve yönetim de dahil olmak üzere anahtar yaşam döngüsü üzerinde tam denetim ve sorumluluk size aittir. daha fazla bilgi için: https://aka.ms/hdi.cmk . Denetim, Reddet, Devre Dışı 1.0.1
Azure HDInsight kümeler, beklemede verileri şifrelemek için konakta şifreleme kullan olmalıdır Konakta şifrelemenin etkinleştirilmesi, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. Konakta şifrelemeyi etkinleştirebilirsiniz; VM ana bilgisayar üzerinde depolanan veriler beklemede şifrelenir ve akışlar Depolama şifrelenir. Denetim, Reddet, Devre Dışı 1.0.0
Azure Machine Learning çalışma alanlarının müşteri tarafından yönetilen bir anahtarla şifrelenmeleri gerekir Müşteri tarafından yönetilen anahtarlarla Azure Machine Learning çalışma alanı verilerinizin geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak mevzuat uyumluluğu standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve size ait Azure Key Vault bir anahtarla şifrelenmelerini sağlar. Döndürme ve yönetim de dahil olmak üzere anahtar yaşam döngüsü üzerinde tam denetim ve sorumluluk size aittir. daha fazla bilgi için: https://aka.ms/azureml-workspaces-cmk . Denetim, Reddet, Devre Dışı 1.0.3
Azure İzleyici Günlükleri kümeleri müşteri tarafından yönetilen anahtarla şifrelenmeli Müşteri Azure İzleyici anahtar şifrelemesi ile günlükler kümesi oluşturun. Varsayılan olarak, günlük verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak mevzuat uyumluluğunu karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Azure İzleyici'de müşteri tarafından yönetilen anahtar, verilerinize erişim üzerinde daha fazla denetim sağlar, bkz. https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys . denetim, reddetme, devre dışı 1.0.0
Azure Kurtarma Hizmetleri kasaları, yedekleme verilerini şifrelemek için müşteri tarafından yönetilen anahtarları kullan Yedekleme verilerinizin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak mevzuat uyumluluğu standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve size ait Azure Key Vault bir anahtarla şifrelenmelerini sağlar. Döndürme ve yönetim de dahil olmak üzere anahtar yaşam döngüsü üzerinde tam denetim ve sorumluluk size aittir. daha fazla bilgi için: https://aka.ms/AB-CmkEncryption . Denetim, Reddet, Devre Dışı 1.0.0-önizleme
Azure Stream Analytics işlerinin verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullanması gerekir Depolama hesabınızla ilgili işlerinizi kullanarak tüm meta verileri ve özel veri varlıklarını güvenli Stream Analytics müşteri tarafından yönetilen anahtarları kullanın. Bu sayede verilerinizin nasıl şifrelenme Stream Analytics tam denetime sahip oluruz. denetim, reddetme, devre dışı 1.0.0
Azure Synapse çalışma alanlarının, müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemesi gerekir Çalışma alanlarında depolanan verilerin geri kalanında şifrelemeyi kontrol etmek için müşteri tarafından Azure Synapse kullanın. Müşteri tarafından yönetilen anahtarlar, hizmet tarafından yönetilen anahtarlarla varsayılan şifrelemenin üzerine ikinci bir şifreleme katmanı ekleyerek çift şifreleme sağlar. Denetim, Reddet, Devre Dışı 1.0.0
Bot Hizmeti müşteri tarafından yönetilen bir anahtarla şifrelenmeli Azure Bot Hizmeti verilerinizi korumak ve kurumsal güvenlik ve uyumluluk taahhütlerini karşılamak için kaynağınızı otomatik olarak şifreler. Varsayılan olarak, Microsoft tarafından yönetilen şifreleme anahtarları kullanılır. Anahtarları yönetme veya aboneliğinize erişimi denetleme konusunda daha fazla esneklik için kendi anahtarını getir (BYOK) olarak da bilinen müşteri tarafından yönetilen anahtarları seçin. Şifreleme hakkında daha Azure Bot Hizmeti bilgi: https://docs.microsoft.com/azure/bot-service/bot-service-encryption . denetim, reddetme, devre dışı 1.0.0
Hem işletim sistemleri hem de Azure Kubernetes Service diskleri müşteri tarafından yönetilen anahtarlar tarafından şifrelenmeli Müşteri tarafından yönetilen anahtarları kullanarak işletim sistemi ve veri disklerini şifrelemek, anahtar yönetiminde daha fazla denetim ve daha fazla esneklik sağlar. Bu, birçok yasal düzenleme ve sektör uyumluluk standardı için ortak bir gereksinimdir. Denetim, Reddet, Devre Dışı 1.0.0
Bilişsel Hizmetler hesapları müşteri tarafından yönetilen bir anahtarla veri şifrelemeyi etkinleştirmeli Mevzuat uyumluluğu standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, Bilişsel Hizmetler'de depolanan verilerin sizin oluşturduğunuz ve size Azure Key Vault bir anahtarla şifrelenmesini sağlar. Döndürme ve yönetim de dahil olmak üzere anahtar yaşam döngüsü üzerinde tam denetim ve sorumluluk size aittir. Müşteri tarafından yönetilen anahtarlar hakkında daha fazla bilgi için: https://go.microsoft.com/fwlink/?linkid=2121321 . Denetim, Reddet, Devre Dışı 2.0.0
Kapsayıcı kayıt defterleri müşteri tarafından yönetilen bir anahtarla şifrelenmeli Kayıt defterlerinizin içeriğinin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler hizmet tarafından yönetilen anahtarlarla birlikte istirahat sırasında şifrelenir, ancak mevzuat uyumluluğu standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve size ait Azure Key Vault bir anahtarla şifrelenmelerini sağlar. Döndürme ve yönetim de dahil olmak üzere anahtar yaşam döngüsü üzerinde tam denetim ve sorumluluk size aittir. daha fazla bilgi için: https://aka.ms/acr/CMK . Denetim, Reddet, Devre Dışı 1.1.2
Event Hub ad alanları şifreleme için müşteri tarafından yönetilen bir anahtar kullanacaktır Azure Event Hubs, Microsoft tarafından yönetilen anahtarlar (varsayılan) veya müşteri tarafından yönetilen anahtarlar ile kalan verileri şifreleme seçeneğini destekler. Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeyi seçmek, Olay Hub'ını ad alanınıza verileri şifrelemek için kullanabileceği anahtarlara erişim atamanıza, döndürmenize, devre dışı bırakmanıza ve iptal etmenize olanak sağlar. Event Hub'ın yalnızca ayrılmış kümelerde ad alanları için müşteri tarafından yönetilen anahtarlarla şifrelemeyi desteklediğini unutmayın. Denetim, Devre Dışı 1.0.0
HPC Önbelleği hesaplarının şifreleme için müşteri tarafından yönetilen anahtarı kullanması gerekir Müşteri tarafından yönetilen anahtarlarla Azure HPC Önbelleği geri kalanında şifrelemeyi yönetin. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak mevzuat uyumluluğu standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve size ait Azure Key Vault bir anahtarla şifrelenmelerini sağlar. Döndürme ve yönetim de dahil olmak üzere anahtar yaşam döngüsü üzerinde tam denetim ve sorumluluk size aittir. Denetim, Devre Dışı, Reddet 2.0.0
IoT Hub sağlama hizmeti verileri müşteri tarafından yönetilen anahtarlar (CMK) kullanılarak şifrelenmeli Cihaz sağlama hizmetinizin geri kalanında şifrelemeyi yönetmek için müşteri IoT Hub anahtarları kullanın. Veriler hizmet tarafından yönetilen anahtarlarla istirahat sırasında otomatik olarak şifrelenir, ancak yasal uyumluluk standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar (CMK) gereklidir. CMK'ler, verilerin sizin oluşturduğunuz ve size Azure Key Vault bir anahtarla şifrelenmelerini sağlar. CMK şifrelemesi hakkında daha fazla bilgi için: https://aka.ms/dps/CMK . Denetim, Reddet, Devre Dışı 1.0.0-önizleme
Logic Apps Tümleştirme Hizmeti Ortamı müşteri tarafından yönetilen anahtarlarla şifrelenmeli Müşteri tarafından Tümleştirme Hizmeti Ortamı kullanarak verilerin geri kalan Logic Apps şifrelemeyi yönetmek için depolamaya dağıtın. Varsayılan olarak, müşteri verileri hizmet tarafından yönetilen anahtarlarla şifrelenir, ancak mevzuat uyumluluğu standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve size ait Azure Key Vault bir anahtarla şifrelenmelerini sağlar. Döndürme ve yönetim de dahil olmak üzere anahtar yaşam döngüsü üzerinde tam denetim ve sorumluluk size aittir. Denetim, Reddet, Devre Dışı 1.0.0
Yönetilen diskler hem platform tarafından yönetilen hem de müşteri tarafından yönetilen anahtarlarla iki kez şifrelenmeli Güvenliği tehlikeye atılmış herhangi bir şifreleme algoritması, uygulaması veya anahtarıyla ilişkili riskten endişe eden yüksek güvenlikli hassas müşteriler, platform tarafından yönetilen şifreleme anahtarları kullanan altyapı katmanında farklı bir şifreleme algoritması/mod kullanarak ek şifreleme katmanı tercih eder. Disk şifreleme kümelerini çift şifreleme kullanmak için gereklidir. daha fazla bilgi için: https://aka.ms/disks-doubleEncryption . Denetim, Reddet, Devre Dışı 1.0.0
MySQL sunucuları, müşteri tarafından yönetilen anahtarları kullanarak kalan verileri şifrelemeli MySQL sunucularının geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler hizmet tarafından yönetilen anahtarlarla birlikte istirahat sırasında şifrelenir, ancak mevzuat uyumluluğu standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve size ait Azure Key Vault bir anahtarla şifrelenmelerini sağlar. Döndürme ve yönetim de dahil olmak üzere anahtar yaşam döngüsü üzerinde tam denetim ve sorumluluk size aittir. AuditIfNotExists, Disabled 1.0.4
Müşteri tarafından yönetilen bir anahtarla işletim sistemi ve veri diskleri şifrelenmeli Yönetilen disklerin içeriğinin geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler platform tarafından yönetilen anahtarlarla istirahat sırasında şifrelenir, ancak mevzuat uyumluluğu standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve size ait Azure Key Vault bir anahtarla şifrelenmelerini sağlar. Döndürme ve yönetim de dahil olmak üzere anahtar yaşam döngüsü üzerinde tam denetim ve sorumluluk size aittir. daha fazla bilgi için: https://aka.ms/disks-cmk . Denetim, Reddet, Devre Dışı 2.0.0
PostgreSQL sunucuları, müşteri tarafından yönetilen anahtarları kullanarak kalan verileri şifrelemeli PostgreSQL sunucularının geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Varsayılan olarak, veriler hizmet tarafından yönetilen anahtarlarla birlikte istirahat sırasında şifrelenir, ancak mevzuat uyumluluğu standartlarını karşılamak için genellikle müşteri tarafından yönetilen anahtarlar gereklidir. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve size ait Azure Key Vault bir anahtarla şifrelenmelerini sağlar. Döndürme ve yönetim de dahil olmak üzere anahtar yaşam döngüsü üzerinde tam denetim ve sorumluluk size aittir. AuditIfNotExists, Disabled 1.0.4
Günlük şifrelemesi için Azure İzleyici depolama hesabına kaydedilmiş sorgular kaydedilebilir Depolama hesabı şifrelemesi ile kaydedilmiş sorguları korumak için depolama hesabını Log Analytics çalışma alanına bağlama. Müşteri tarafından yönetilen anahtarlar genellikle mevzuat uyumluluğunu karşılamak ve bu hizmetlerde kayıtlı sorgulara erişim üzerinde daha fazla denetim Azure İzleyici. Yukarıdaki ayrıntılar için bkz. https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal . denetim, reddetme, devre dışı 1.0.0
Service Bus Premium ad alanları şifreleme için müşteri tarafından yönetilen bir anahtar kullanacaktır Azure Service Bus, Microsoft tarafından yönetilen anahtarlar (varsayılan) veya müşteri tarafından yönetilen anahtarlar ile kalan verileri şifreleme seçeneğini destekler. Müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemeyi seçmek, ad alanınıza veri şifrelemek için kullanabileceğiniz anahtarlara erişim atamanıza, döndürmenize, devre dışı bırakmanıza ve Service Bus iptal etmenize olanak sağlar. Bu Service Bus premium ad alanları için müşteri tarafından yönetilen anahtarlarla şifrelemeyi desteklediğini unutmayın. Denetim, Devre Dışı 1.0.0
SQL yönetilen örneklerin, müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemesi gerekir Kendi anahtarınızla Saydam Veri Şifrelemesi (TDE) uygulamak size TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM ile birlikte bir dış hizmetle daha fazla güvenlik ve görev ayrımı yükseltme sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. AuditIfNotExists, Disabled 1.0.2
SQL sunucuların, müşteri tarafından yönetilen anahtarları kullanarak verileri şifrelemesi gerekir Kendi anahtarınızla Saydam Veri Şifrelemesi (TDE) uygulamak, TDE Koruyucusu üzerinde daha fazla saydamlık ve denetim, HSM ile birlikte bir dış hizmetle daha fazla güvenlik ve görev ayrımı yükseltmesi sağlar. Bu öneri, ilgili uyumluluk gereksinimi olan kuruluşlar için geçerlidir. AuditIfNotExists, Disabled 2.0.1
Depolama şifreleme kapsamları, beklemede verileri şifrelemek için müşteri tarafından yönetilen anahtarları kullan Depolama hesabı şifreleme kapsamlarının geri kalanında şifrelemeyi yönetmek için müşteri tarafından yönetilen anahtarları kullanın. Müşteri tarafından yönetilen anahtarlar, verilerin sizin oluşturduğunuz ve size ait olan bir Azure anahtar kasası anahtarıyla şifrelenmesini sağlar. Döndürme ve yönetim de dahil olmak üzere anahtar yaşam döngüsü üzerinde tam denetim ve sorumluluk size aittir. depolama hesabı şifreleme kapsamları hakkında daha fazla bilgi için: https://aka.ms/encryption-scopes-overview . Denetim, Reddet, Devre Dışı 1.0.0
Depolama hesaplarının şifreleme için müşteri tarafından yönetilen anahtarı kullanması gerekir Müşteri tarafından yönetilen anahtarları kullanarak blob ve dosya depolama hesabınıza daha fazla esneklik kazandırın. Müşteri tarafından yönetilen bir anahtar belirttiğinizde verilerinizi şifrelemek ve verilerinize erişimi denetlemek için bu anahtar kullanılır. Müşteri tarafından yönetilen anahtarların kullanımı, anahtar şifreleme anahtarının rotasyonlarını denetlemeye veya verileri şifrelemeyle silmeye yönelik ek özellikler sağlar. Denetim, Devre Dışı 1.0.3

Rest'de Bilgilerin Korunması

Kimlik: FedRAMP Orta SC-28

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
App Service Ortamı şifrelemeyi etkinleştirmeniz gerekir InternalEncryption değeri true olarak ayarlanacak şekilde, ön uçlar ile bir şirket içi çalışan arasındaki disk belleği dosyası, çalışan diskleri ve iç ağ trafiği App Service Ortamı. Daha fazla bilgi edinmek için https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption bkz. . Denetim, Devre Dışı 1.0.0
Otomasyon hesabı değişkenleri şifrelenmeli Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelerini etkinleştirmek önemlidir Denetim, Reddet, Devre Dışı 1.1.0
Azure Data Box işleri, cihaz üzerinde beklemede olan veriler için çift şifrelemeyi etkinleştirmeli Cihazda beklemede olan veriler için ikinci bir yazılım tabanlı şifreleme katmanı etkinleştirin. Cihaz, beklemede kalan veriler Gelişmiş Şifreleme Standardı 256 bit şifreleme ile zaten korunuyor. Bu seçenek ikinci bir veri şifreleme katmanı ekler. Denetim, Reddet, Devre Dışı 1.0.0
Azure İzleyici Günlükleri kümeleri, altyapı şifrelemesi etkinleştirilmiş (çift şifreleme) ile oluşturulacak Güvenli veri şifrelemenin hizmet düzeyinde ve altyapı düzeyinde iki farklı şifreleme algoritması ve iki farklı anahtarla etkinleştirildiğinden emin olmak için ayrılmış Azure İzleyici kullanın. Bu seçenek bölgede destekleildiğinde varsayılan olarak etkindir, bkz. https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview . denetim, reddetme, devre dışı 1.0.0
Azure Stack Edge cihazları çift şifreleme kullan Cihazda kalan verilerin güvenliğini sağlamak için çift şifrelemeli olduğundan, verilere erişimin denetlenebilir olduğundan ve cihaz devre dışı bırakıldığında veriler veri diskleri arasında güvenli bir şekilde silinir. Çift şifreleme, iki şifreleme katmanının kullanımıdır: Veri birimlerinde BitLocker XTS-AES 256 bit şifreleme ve sabit sürücülerin yerleşik şifrelemesi. Belirli bir Stack Edge cihazına yönelik güvenlik genel bakışı belgelerinde daha fazla bilgi edinebilirsiniz. denetim, reddetme, devre dışı 1.0.0
Disk şifrelemesi, diskte Azure Veri Gezgini Disk şifrelemesini etkinleştirmek, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. Denetim, Reddet, Devre Dışı 2.0.0
Veri depolamada çift şifreleme Azure Veri Gezgini Çift şifrelemeyi etkinleştirmek, kurumsal güvenlik ve uyumluluk taahhütlerinizi karşılamak için verilerinizin korunmasına ve korunmasına yardımcı olur. Çift şifreleme etkinleştirildiğinde, iki farklı şifreleme algoritması ve iki farklı anahtar kullanılarak depolama hesabı verileri bir kez hizmet düzeyinde ve bir kez altyapı düzeyinde iki kez şifrelenir. Denetim, Reddet, Devre Dışı 2.0.0
Sunucularda altyapı şifrelemesi MySQL için Azure Veritabanı gerekir Verilerin güvenli olduğu MySQL için Azure Veritabanı daha yüksek bir güvence düzeyine sahip olmak için bu sunucuların altyapı şifrelemesini etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, fiPS 140-2 uyumlu Microsoft tarafından yönetilen anahtarlar kullanılarak beklemede kalan veriler iki kez şifrelenir. Denetim, Reddet, Devre Dışı 1.0.0
Sunucularda altyapı şifrelemesi PostgreSQL için Azure Veritabanı gerekir Verilerin güvenli olduğu PostgreSQL için Azure Veritabanı daha yüksek bir güvenceye sahip olmak için sunucularda altyapı şifrelemesini etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, FIPS 140-2 uyumlu Microsoft yönetilen anahtarları kullanılarak beklemede kalan veriler iki kez şifrelenir Denetim, Reddet, Devre Dışı 1.0.0
Veri veritabanlarınız SQL sınıflandırılmış olmalıdır Azure Güvenlik Merkezi veritabanınız için veri bulma ve sınıflandırma tarama sonuçlarını SQL ve daha iyi izleme ve güvenlik için veritabanlarınız içinde hassas verileri sınıflandırmaya yardımcı olacak öneriler sağlar AuditIfNotExists, Disabled 3.0.0-önizleme
Service Fabric kümelerin ClusterProtectionLevel özelliğinin EncryptAndSign olarak ayarlanmış olması gerekir Service Fabric bir birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (Yok, İmza ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenir ve dijital olarak imzalanmış olmasını sağlamak için koruma düzeyini ayarlayın Denetim, Reddet, Devre Dışı 1.1.0
Depolama hesaplarının altyapı şifrelemesi olması gerekir Verilerin güvenli olduğuyla ilgili daha yüksek düzeyde güvence için altyapı şifrelemesini etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, depolama hesabı verileri iki kez şifrelenir. Denetim, Reddet, Devre Dışı 1.0.0
Kümelerdeki aracı düğümü havuzları için geçici diskler Azure Kubernetes Service önbellek konakta şifrelenmeli Veri güvenliğini artırmak için, sanal makine düğümlerinizin sanal makine (VM) Azure Kubernetes Service sanal makinelerde depolanan veriler, istirahatta şifrelenmeli. Bu, birçok yasal düzenleme ve sektör uyumluluk standardı için ortak bir gereksinimdir. Denetim, Reddet, Devre Dışı 1.0.0
Saydam Veri Şifrelemesi veritabanlarında SQL etkinleştirilmelidir Beklemede olan verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifrelemesi etkinleştirilmelidir AuditIfNotExists, Disabled 2.0.0
Sanal makineler ve sanal makine ölçek kümeleri konakta şifrelemeyi etkinleştirmiş olmalıdır Sanal makineniz ve sanal makine ölçek kümesi verileriniz için 4.00.000'den fazla şifreleme almak için konakta şifrelemeyi kullanın. Konakta şifreleme, geçici diskiniz ve işletim sistemi/veri diski önbellekleriniz için beklemede şifrelemeyi sağlar. Konakta şifreleme etkinleştirildiğinde, geçici ve kısa ömürlü işletim sistemi diskleri platform tarafından yönetilen anahtarlarla şifrelenir. OS/veri diski önbellekleri, diskte seçilen şifreleme türüne bağlı olarak müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarla beklemede şifrelenir. daha fazla bilgi için: https://aka.ms/vm-hbe . Denetim, Reddet, Devre Dışı 1.0.0
Sanal makineler, İşlem ile sanal makine kaynakları arasında geçici diskleri, önbellekleri ve veri Depolama şifrelemeli Varsayılan olarak, bir sanal makinenin işletim sistemi ve veri diskleri, platform tarafından yönetilen anahtarlar kullanılarak istirahatta şifrelenir. Geçici diskler, veri önbellekleri ve işlem ile depolama arasında akan veriler şifrelenmez. Şu durumda bu öneriyi yoksayın: 1. konakta şifrelemeyi veya 2'yi kullanma. sunucu tarafı şifrelemesi Yönetilen Diskler gereksinimlerinizi karşılar. Azure Disk depolama ve Farklı disk şifreleme tekliflerinin sunucu Depolama daha fazla bilgi edinin. AuditIfNotExists, Disabled 2.0.2

Şifreleme Koruması

Kimlik: FedRAMP Orta SC-28 (1)

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
App Service Ortamı şifrelemeyi etkinleştirmeniz gerekir InternalEncryption değeri true olarak ayarlanacak şekilde, ön uçlar ile bir şirket içi çalışan arasındaki disk belleği dosyası, çalışan diskleri ve iç ağ trafiği App Service Ortamı. Daha fazla bilgi edinmek için https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption bkz. . Denetim, Devre Dışı 1.0.0
Otomasyon hesabı değişkenleri şifrelenmeli Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelerini etkinleştirmek önemlidir Denetim, Reddet, Devre Dışı 1.1.0
Azure Data Box işleri, cihaz üzerinde beklemede olan veriler için çift şifrelemeyi etkinleştirmeli Cihazda beklemede olan veriler için ikinci bir yazılım tabanlı şifreleme katmanı etkinleştirin. Cihaz, beklemede kalan veriler Gelişmiş Şifreleme Standardı 256 bit şifreleme ile zaten korunuyor. Bu seçenek ikinci bir veri şifreleme katmanı ekler. Denetim, reddetme, devre dışı 1.0.0
Azure Izleyici günlükleri kümeleri altyapı Şifrelemesi etkin (Çift şifreleme) ile oluşturulmalıdır Güvenli veri şifrelemenin, hizmet düzeyinde ve altyapı düzeyinde iki farklı şifreleme algoritmalarıyla etkinleştirildiğinden ve iki farklı anahtara sahip olduğundan emin olmak için bir Azure Izleyici adanmış kümesi kullanın. Bu seçenek, bölgede desteklenerek varsayılan olarak etkindir, bkz https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview .. Denetim, reddetme, devre dışı 1.0.0
Azure Stack Edge cihazları çift şifrelemeyi kullanmalıdır Cihazdaki bekleyen verilerin güvenliğini sağlamak için, verilerin çift şifrelendiğinden emin olun, veri erişimi denetlenir ve cihaz devre dışı bırakıldıktan sonra veriler veri disklerini güvenle silinir. Çift şifreleme iki ayrı şifreleme katmanından oluşur: veri birimlerinde BitLocker XTS-AES 256 bit şifreleme ve sabit sürücülerin yerleşik şifrelemesi. Belirli Stack Edge cihazının güvenlik genel bakış belgelerinde daha fazla bilgi edinin. Denetim, reddetme, devre dışı 1.0.0
Azure Veri Gezgini disk şifrelemesi etkinleştirilmelidir Disk şifrelemeyi etkinleştirmek, kuruluşunuzun güvenlik ve uyumluluk taahhütlerinizi karşılamak üzere verilerinizi korumanıza ve korumaya yardımcı olur. Denetim, reddetme, devre dışı 2.0.0
Azure Veri Gezgini 'de Çift şifreleme etkinleştirilmelidir Çift şifrelemeyi etkinleştirmek, kuruluşunuzun güvenlik ve uyumluluk taahhütlerinizi karşılamak üzere verilerinizi korumanıza ve korumaya yardımcı olur. Çift şifreleme etkinleştirildiğinde, depolama hesabındaki veriler iki farklı şifreleme algoritması ve iki farklı anahtar kullanılarak, hizmet düzeyinde ve altyapı düzeyinde bir kez şifrelenir. Denetim, reddetme, devre dışı 2.0.0
MySQL için Azure veritabanı sunucuları için altyapı şifreleme etkinleştirilmelidir MySQL için Azure veritabanı sunucuları için altyapı şifrelemesini, verilerin güvenliğinin sağlanmasına yönelik daha yüksek düzeyde güvence düzeyine sahip olacak şekilde etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, bekleyen veriler FIPS 140-2 uyumlu Microsoft tarafından yönetilen anahtarlar kullanılarak iki kez şifrelenir. Denetim, reddetme, devre dışı 1.0.0
PostgreSQL için Azure veritabanı sunucuları için altyapı şifreleme etkinleştirilmelidir PostgreSQL için Azure veritabanı sunucuları için altyapı şifrelemesini, verilerin güvenliğinin sağlanmasına yönelik daha yüksek düzeyde güvence düzeyine sahip olacak şekilde etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, bekleyen veriler FIPS 140-2 uyumlu Microsoft yönetilen anahtarları kullanılarak iki kez şifrelenir Denetim, reddetme, devre dışı 1.0.0
SQL veritabanlarınızdaki hassas veriler sınıflandırılmalıdır Azure güvenlik merkezi, SQL veritabanlarınızın veri bulma ve sınıflandırma taraması sonuçlarını izler ve daha iyi izleme ve güvenlik için veritabanlarınızdaki hassas verileri sınıflandırmaya yönelik öneriler sağlar Auditınotexists, devre dışı 3.0.0-Önizleme
Service Fabric kümelerinde clusterprotectionlevel özelliği encryptandsign olarak ayarlanmalıdır Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve encryptandsign) sağlar. Tüm düğümden düğüme mesajların şifrelendiğinden ve dijital olarak imzalandığından emin olmak için koruma düzeyini ayarlayın Denetim, reddetme, devre dışı 1.1.0
Depolama hesapların altyapı şifrelemesi olmalıdır Verilerin güvende olduğundan daha yüksek güvence düzeyi için altyapı şifrelemeyi etkinleştirin. Altyapı şifrelemesi etkinleştirildiğinde, bir depolama hesabındaki veriler iki kez şifrelenir. Denetim, reddetme, devre dışı 1.0.0
Azure Kubernetes hizmet kümelerindeki Aracı düğüm havuzlarının geçici diskleri ve önbelleği konakta şifrelenmelidir Veri güvenliğini geliştirmek için, Azure Kubernetes hizmet düğümleri VM 'lerinin sanal makine (VM) konağında depolanan veriler Rest 'de şifrelenmelidir. Bu, birçok mevzuata ve sektör uyumluluk standartlarında yaygın bir gereksinimdir. Denetim, reddetme, devre dışı 1.0.0
SQL veritabanlarına Saydam Veri Şifrelemesi etkinleştirilmelidir Rest verilerini korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifrelemesi etkinleştirilmelidir Auditınotexists, devre dışı 2.0.0
Konakta etkinleştirilmiş sanal makineler ve sanal makine ölçek kümelerinin şifrelenmesi gerekir Sanal makineniz ve sanal makine ölçek kümesi verilerinize yönelik uçtan uca şifrelemeyi almak için konakta şifrelemeyi kullanın. Konaktaki şifreleme, geçici disk ve işletim sistemi/veri diski önbellekler için bekleyen şifreleme imkanı sunar. Konakta şifreleme etkinleştirildiğinde, geçici ve kısa ömürlü işletim sistemi diskleri platform tarafından yönetilen anahtarlarla şifrelenir. İşletim sistemi/veri diski önbellekleri, diskte Seçilen şifreleme türüne bağlı olarak, müşteri tarafından yönetilen veya platform tarafından yönetilen anahtarla geri kalan bilgisayarlarda şifrelenir. Daha fazla bilgi edinin https://aka.ms/vm-hbe . Denetim, reddetme, devre dışı 1.0.0
sanal makineler, işlem ve Depolama kaynakları arasında geçici diskleri, önbellekleri ve veri akışlarını şifrelemelidir Varsayılan olarak, bir sanal makinenin işletim sistemi ve veri diskleri, platform tarafından yönetilen anahtarlar kullanılarak Rest ile şifrelenir. Geçici diskler, veri önbellekleri ve işlem ile depolama arasındaki veri akışı şifrelenmez. Şu durumlarda bu öneriyi göz ardı edin: 1. Ana bilgisayar veya 2 ' yi kullanma. Yönetilen disklerde sunucu tarafı şifreleme, güvenlik gereksinimlerinizi karşılar. Azure Disk Depolama ve farklı Disk şifreleme tekliflerinin sunucu tarafı şifrelemesi hakkında daha fazla bilgi edinin. Auditınotexists, devre dışı 2.0.2

Sistem ve bilgi bütünlüğü

Hata Düzeltme

Kimlik: fedrata Orta-2

Name
(Azure portal)
Description Efekt (ler) Sürüm
(GitHub)
Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümünün etkinleştirilmesi gerekir Sanal makineleri, desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadığını tespit etmek üzere denetler. Her bir siber risk ve güvenlik programının çekirdek bileşeni, güvenlik açıklarının tanımlama ve analizidir. Azure Güvenlik Merkezi 'nin standart fiyatlandırma katmanı, sanal makineleriniz için ek ücret olmadan güvenlik açığı taraması içerir. Ayrıca, güvenlik merkezi bu aracı sizin için otomatik olarak dağıtabilir. Auditınotexists, devre dışı 3.0.0
App Service için Azure Defender etkinleştirilmelidir App Service için Azure Defender, bulut ölçeğinden yararlanır ve Azure 'un ortak Web uygulaması saldırılarını izlemek için bir bulut sağlayıcısı olarak sahip olduğu görünürlüğe sahiptir. Auditınotexists, devre dışı 1.0.3
Azure SQL Veritabanı sunucuları için Azure Defender etkinleştirilmelidir SQL için Azure Defender, ortaya çıkabilecek ve olası veritabanı güvenlik açıklarını azaltmaya yönelik işlevsellik sağlar, bu sayede veritabanları SQL tehditleri gösterebilen ve hassas verileri bulabilecek ve sınıflandırabilecek anormal etkinlikleri tespit ediyor. Auditınotexists, devre dışı 1.0.2
Kapsayıcı kayıt defterleri için Azure Defender etkinleştirilmelidir Kapsayıcı kayıt defterleri için Azure Defender, son 30 gün içinde çekilen, Kayıt defterinize gönderilen veya içeri aktarılan tüm görüntüleri taramak ve görüntü başına ayrıntılı bulguları ortaya çıkaran bir güvenlik açığı taraması sağlar. Auditınotexists, devre dışı 1.0.3
Azure Defender DNS için yapılandırma etkinleştirilmelidir dns Azure Defender, Azure kaynaklarından gelen tüm DNS sorgularını sürekli olarak izerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender DNS katmanında şüpheli etkinlik hakkında sizi uyarıyor. DNS için ağ bağlantılarının özellikleri hakkında daha Azure Defender için https://aka.ms/defender-for-dns bkz. . Bu planı etkinleştirmek Azure Defender ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0-önizleme
Azure Defender için Key Vault etkinleştirilmelidir Azure Defender için Key Vault, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayan ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Disabled 1.0.3
Kubernetes için Azure Defender etkinleştirilmelidir Kubernetes için Azure Defender kapsayıcılı ortamlar için gerçek zamanlı tehdit koruması sağlar ve şüpheli etkinlikler için uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Resource Manager etkinleştirilmelidir Azure Defender, Resource Manager kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarıyor. Uygulamanın özellikleri hakkında daha fazla bilgi Azure Defender için https://aka.ms/defender-for-resource-manager Resource Manager. Bu planı etkinleştirmek Azure Defender ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender için yapılandırma etkinleştirilmelidir Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve hem sağlamlaştırma önerileri hem de şüpheli etkinliklerle ilgili uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender makinelerde SQL sunucuların etkinleştirilmesi gerekir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltma SQL ya, veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevler sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender için Depolama etkinleştirilmelidir Azure Defender için Depolama, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve potansiyel olarak zararlı girişimlerin algılamalarını sağlar. AuditIfNotExists, Disabled 1.0.3
API uygulamasını çalıştırmak için kullanılıyorsa 'HTTP Sürümü'nin en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları veya ek işlevler içermesi nedeniyle HTTP için yeni sürümler yayımlar. Varsa, daha yeni sürümün güvenlik düzeltmelerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Disabled 2.0.0
İşlev uygulamasını çalıştırmak için kullanılıyorsa 'HTTP Sürümü'nin en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları veya ek işlevler içermesi nedeniyle HTTP için yeni sürümler yayımlar. Varsa, daha yeni sürümün güvenlik düzeltmelerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Disabled 2.0.0
Web uygulamasını çalıştırmak için kullanılıyorsa 'HTTP Sürümü'nin en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları veya ek işlevler içermesi nedeniyle HTTP için yeni sürümler yayımlar. Varsa, daha yeni sürümün güvenlik düzeltmelerinden yararlanmak için web uygulamaları için en son HTTP sürümünü kullanma. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Disabled 2.0.0
API uygulamasının bir parçası olarak kullanılıyorsa 'Java sürümünün' en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek için Java için yeni sürümler yayımlar. Varsa en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için API uygulamaları için en son Python sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Disabled 2.0.0
İşlev uygulamasının bir parçası olarak kullanılıyorsa 'Java sürümünün' en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları veya ek işlevler içermesi nedeniyle Java yazılımı için yeni sürümler yayımlar. Varsa en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için İşlev uygulamaları için en son Java sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Disabled 2.0.0
Web uygulamasının bir parçası olarak kullanılıyorsa 'Java sürümünün' en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları veya ek işlevler içermesi nedeniyle Java yazılımı için yeni sürümler yayımlar. Varsa en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için web uygulamaları için en son Java sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Disabled 2.0.0
API uygulamasının bir parçası olarak kullanılıyorsa 'PHP sürümünün' en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları veya ek işlevler içermesi nedeniyle PHP yazılımı için daha yeni sürümler yayımlar. Varsa, güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için API uygulamaları için en son PHP sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Disabled 2.1.0
WEB uygulamasının bir parçası olarak kullanılıyorsa 'PHP sürümünün' en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları veya ek işlevler içermesi nedeniyle PHP yazılımı için daha yeni sürümler yayımlar. Varsa en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için web uygulamaları için en son PHP sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Disabled 2.1.0
API uygulamasının bir parçası olarak kullanılıyorsa 'Python sürümünün' en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek için Python yazılımı için yeni sürümler yayımlar. Varsa en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için API uygulamaları için en son Python sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Disabled 3.0.0
İşlev uygulamasının bir parçası olarak kullanılıyorsa 'Python sürümünün' en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek için Python yazılımı için yeni sürümler yayımlar. İşlev uygulamaları için en son Python sürümünün kullanılması, varsa güvenlik düzeltmelerinden ve/veya en son sürümün yeni işlevlerinden yararlanmak için önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Disabled 3.0.0
Web uygulamasının bir parçası olarak kullanılıyorsa 'Python sürümünün' en son sürüm olduğundan emin olun Düzenli aralıklarla, güvenlik açıkları nedeniyle veya ek işlevler eklemek için Python yazılımı için yeni sürümler yayımlar. Varsa en son sürümün güvenlik düzeltmelerinden ve/veya yeni işlevlerden yararlanmak için web uygulamaları için en son Python sürümünün kullanılması önerilir. Şu anda bu ilke yalnızca Linux web uygulamaları için geçerlidir. AuditIfNotExists, Disabled 3.0.0
Kubernetes Services, güvenlik açığı olmayan bir Kubernetes sürümüne yükseltildikten sonra Geçerli Kubernetes sürümünüzde bilinen güvenlik açıklarına karşı koruma için Kubernetes hizmet kümenizi sonraki bir Kubernetes sürümüne yükseltin. Cve-2019-9946 güvenlik açığı Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ ve 1.14.0+ sürümlerinde düzeltme eki uygulama Denetim, Devre Dışı 1.0.2
SQL veritabanlarında güvenlik açığı bulguları çözümlenmiş olmalıdır Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleme. AuditIfNotExists, Disabled 4.0.0
Sanal makine ölçek kümelerinin sistem güncelleştirmelerinin yüklü olması gerekir Sanal makinenizin ve Linux sanal makine ölçek kümenizin güvenli olduğundan emin olmak için yüklü olması gereken eksik sistem güvenlik güncelleştirmeleri ve kritik Windows güncelleştirmeler olup olmadığını kontrol edin. AuditIfNotExists, Disabled 3.0.0
Makinelerinize sistem güncelleştirmeleri yüklenmelidir Sunucularda eksik güvenlik sistemi güncelleştirmeleri, öneriler olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Disabled 4.0.0
Makinelerinizin güvenlik yapılandırmasında güvenlik açıkları düzeltildi Yapılandırılan taban çizgisini karşılamamış sunucular, öneriler olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Disabled 3.0.0
Sanal makine ölçek kümeleriniz üzerinde güvenlik yapılandırmasında güvenlik açıkları düzeltildi Sanal makine ölçek kümelerinizi saldırılara karşı korumak için işletim sistemi güvenlik açıklarını denetleme. AuditIfNotExists, Disabled 3.0.0

Kötü Amaçlı Kod Koruması

Kimlik: FedRAMP Orta SI-3

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Azure Defender için yapılandırma etkinleştirilmelidir Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve hem sağlamlaştırma önerileri hem de şüpheli etkinliklerle ilgili uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Uç nokta koruma çözümünün sanal makine ölçek kümelere yüklenmiş olması gerekir Sanal makinelerinizin ölçek kümelerinin tehditlere ve güvenlik açıklarına karşı korunması için bir uç nokta koruma çözümünün varlığını ve sistem durumunu denetleme. AuditIfNotExists, Disabled 3.0.0
Azure Güvenlik Merkezi'Endpoint Protection eksik Azure Güvenlik Merkezi Yüklü bir Endpoint Protection aracısı olmayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Disabled 3.0.0
Windows Defender Makineleriniz üzerinde Exploit Guard etkinleştirilmelidir Windows Defender Exploit Guard, konuk Azure İlkesi aracıyı kullanır. Exploit Guard, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir ve bu sırada kuruluşların güvenlik riski ve üretkenlik gereksinimlerini dengelemesini sağlar (yalnızca Windows). AuditIfNotExists, Disabled 1.1.1

Merkezi Yönetim

Kimlik: FedRAMP Orta SI-3 (1)

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Azure Defender için yapılandırma etkinleştirilmelidir Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve hem sağlamlaştırma önerileri hem de şüpheli etkinliklerle ilgili uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Uç nokta koruma çözümünün sanal makine ölçek kümelere yüklenmiş olması gerekir Sanal makinelerinizin ölçek kümelerinin tehditlere ve güvenlik açıklarına karşı korunması için bir uç nokta koruma çözümünün varlığını ve sistem durumunu denetleme. AuditIfNotExists, Disabled 3.0.0
Azure Güvenlik Merkezi'Endpoint Protection eksik Azure Güvenlik Merkezi Yüklü bir Endpoint Protection aracısı olmayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir AuditIfNotExists, Disabled 3.0.0
Windows Defender Makineleriniz üzerinde Exploit Guard etkinleştirilmelidir Windows Defender Exploit Guard, konuk Azure İlkesi aracıyı kullanır. Exploit Guard, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir ve bu sırada kuruluşların güvenlik riski ve üretkenlik gereksinimlerini dengelemesini sağlar (yalnızca Windows). AuditIfNotExists, Disabled 1.1.1

Bilgi Sistemi İzleme

Kimlik: FedRAMP Orta SI-4

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Tüm İnternet trafiği, dağıtılan sanal ağ Azure Güvenlik Duvarı Azure Güvenlik Merkezi alt ağlardan bazılarının yeni nesil güvenlik duvarıyla korunmamakta olduğunu belirledik. Ağ güvenlik duvarı veya desteklenen bir yeni nesil güvenlik duvarı ile alt ağlarınızı Azure Güvenlik Duvarı olası tehditlere karşı koruma AuditIfNotExists, Disabled 3.0.0-önizleme
Aboneliğiniz üzerinde Log Analytics aracılarının otomatik olarak sağlanması etkinleştirilmelidir Güvenlik açıklarını ve tehditlerini izlemek Azure Güvenlik Merkezi Azure sanal makinelerinize veri toplar. Veriler, önceden Microsoft Monitoring Agent (MMA) olarak bilinen ve makineden güvenlikle ilgili çeşitli yapılandırmaları ve olay günlüklerini okutan ve verileri analiz için Log Analytics çalışma alanınıza kopyalanan Log Analytics aracısı tarafından toplanır. Aracıyı desteklenen tüm Azure VM'lere ve oluşturulan yeni vm'lere otomatik olarak dağıtmak için otomatik sağlamayı etkinleştirmenizi öneririz. AuditIfNotExists, Disabled 1.0.1
Azure Arc Kubernetes kümelerde Azure Defender uzantısı yüklü olmalıdır Azure Defender için uzantı Azure Arc Arc özellikli Kubernetes kümeleriniz için tehdit koruması sağlar. Uzantı, kümedeki düğümlerden verileri toplar ve daha fazla analiz Kubernetes için Azure Defender için bulut arka ucuna gönderir. daha fazla bilgi için: https://docs.microsoft.com/azure/security-center/defender-for-kubernetes-azure-arc . AuditIfNotExists, Disabled 3.0.0-önizleme
Azure Defender için App Service etkinleştirilmelidir Azure Defender için App Service, yaygın web uygulaması saldırılarını izlemek için bulutun ölçeğini ve Azure'ın bulut sağlayıcısı olarak sahip olduğu görünürlüğü kullanır. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Azure SQL Veritabanı etkinleştirilmelidir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltma SQL ya, veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevler sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender kayıt defterleri için kayıt defterleri etkinleştirilmelidir Azure Defender kayıt defterleri için güvenlik açığı taraması, son 30 gün içinde çekilen, kayıt defterinize aktarılan veya içeri aktarılan tüm görüntülerin güvenlik açığı taraması sağlar ve görüntü başına ayrıntılı bulguları ortaya çıkarır. AuditIfNotExists, Disabled 1.0.3
Azure Defender DNS için yapılandırma etkinleştirilmelidir dns Azure Defender, Azure kaynaklarından gelen tüm DNS sorgularını sürekli olarak izerek bulut kaynaklarınız için ek bir koruma katmanı sağlar. Azure Defender DNS katmanında şüpheli etkinlik hakkında sizi uyarıyor. DNS için ağ bağlantılarının özellikleri hakkında daha Azure Defender için https://aka.ms/defender-for-dns bkz. . Bu planı etkinleştirmek Azure Defender ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0-önizleme
Azure Defender için Key Vault etkinleştirilmelidir Azure Defender için Key Vault, anahtar kasası hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılayan ek bir koruma ve güvenlik zekası katmanı sağlar. AuditIfNotExists, Disabled 1.0.3
Kubernetes için Azure Defender etkinleştirilmelidir Kubernetes için Azure Defender kapsayıcılı ortamlar için gerçek zamanlı tehdit koruması sağlar ve şüpheli etkinlikler için uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender için Resource Manager etkinleştirilmelidir Azure Defender, Resource Manager kaynak yönetimi işlemlerini otomatik olarak izler. Azure Defender tehditleri algılar ve şüpheli etkinlik hakkında sizi uyarıyor. Uygulamanın özellikleri hakkında daha fazla bilgi Azure Defender için https://aka.ms/defender-for-resource-manager Resource Manager. Bu planı etkinleştirmek Azure Defender ücrete neden olur. Güvenlik Merkezi'nin fiyatlandırma sayfasında bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender için yapılandırma etkinleştirilmelidir Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve hem sağlamlaştırma önerileri hem de şüpheli etkinliklerle ilgili uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Azure Defender makinelerde SQL sunucuların etkinleştirilmesi gerekir Azure Defender için SQL, olası veritabanı güvenlik açıklarını ortaya konup azaltma SQL ya, veritabanlarına yönelik tehditleri işaret eden anormal etkinlikleri algılamaya ve hassas verileri keşfetmeye ve sınıflendirmeye yönelik işlevler sağlar. AuditIfNotExists, Disabled 1.0.2
Azure Defender için SQL korumasız Azure depolama sunucuları için SQL gerekir Gelişmiş SQL olmadan sunucularını denetleme AuditIfNotExists, Disabled 2.0.1
Azure Defender için SQL, Korumasız Yönetilen Örneklerde SQL etkinleştirilmelidir Her yönetilen SQL gelişmiş veri güvenliği olmadan denetleme. AuditIfNotExists, Disabled 1.0.2
Azure Defender için Depolama etkinleştirilmelidir Azure Defender için Depolama, depolama hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve potansiyel olarak zararlı girişimlerin algılamalarını sağlar. AuditIfNotExists, Disabled 1.0.3
Makinelerinize Konuk Yapılandırma uzantısı yük yüklmektedir Makinenizin konuk ayarlarının güvenli yapılandırmalarını sağlamak için Konuk Yapılandırması uzantısını yükleyin. Uzantının izleyen konuk ayarları işletim sisteminin yapılandırmasını, uygulama yapılandırmasını veya varlık ayarlarını ve ortam ayarlarını içerir. Yüklendikten sonra, 'Windows Exploit guard etkinleştirilmelidir' gibi konuk içinde ilkeler kullanılabilir. daha fazla bilgi için: https://aka.ms/gcpol . AuditIfNotExists, Disabled 1.0.1
Log Analytics aracısı sistem durumu sorunları makineleriniz üzerinde çözümlensin Güvenlik Merkezi, eski adı Microsoft Monitoring Agent (MMA) olan Log Analytics aracılarını kullanır. Sanal makinelerinizin başarıyla izlenir olduğundan emin olmak için, aracının sanal makinelere yüklü olduğundan ve güvenlik olaylarını yapılandırılan çalışma alanına düzgün bir şekilde toplayandan emin olun. AuditIfNotExists, Disabled 1.0.0
Log Analytics aracısı Linux sanal makinelerinize Azure Arc gerekir Bu ilke, Log Analytics Azure Arc yüklenmemişse Linux sanal makinelerini denetlemektedir. AuditIfNotExists, Disabled 1.0.0-önizleme
Log Analytics aracısı, izleme için sanal makinenize Azure Güvenlik Merkezi gerekir Bu ilke, Log Analytics aracısı Windows Güvenlik Merkezi'nin güvenlik açıklarını ve tehditleri izlemek için kullandığı herhangi bir sanal makine/Linux sanal makinesi (VM) yüklemezse, bu ilkeyi kontrol eder AuditIfNotExists, Disabled 1.0.0
Log Analytics aracısı, sanal makine ölçek kümenize yük yük Azure Güvenlik Merkezi gerekir Güvenlik Merkezi, güvenlik açıklarını ve tehditleri izlemek için Azure sanal makinelerinize (VM) veri toplar. AuditIfNotExists, Disabled 1.0.0
Log Analytics aracısı, sanal makinelerinize Windows Azure Arc gerekir Bu ilke Windows Azure Arc Log Analytics aracısı yüklü değilse bu makineleri denetlemeye devam ediyor. AuditIfNotExists, Disabled 1.0.0-önizleme
Ağ trafiği veri toplama aracısı Linux sanal makinelerine yük yüklmektedir Güvenlik Merkezi, ağ haritasında trafik görselleştirme, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek için Azure sanal makinelerinizin ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Disabled 1.0.1-önizleme
Ağ trafiği veri toplama aracısı sanal makinelere Windows gerekir Güvenlik Merkezi, ağ haritasında trafik görselleştirme, ağ sağlamlaştırma önerileri ve belirli ağ tehditleri gibi gelişmiş ağ koruma özelliklerini etkinleştirmek için Azure sanal makinelerinizin ağ trafiği verilerini toplamak için Microsoft Dependency aracısını kullanır. AuditIfNotExists, Disabled 1.0.1-önizleme
Ağ İzleyici etkinleştirilmelidir Ağ İzleyicisi, Azure'da bir ağ senaryosu düzeyinde koşulları izlemenizi ve tanılamayı sağlayan bölgesel bir hizmettir. Senaryo düzeyinde izleme, sorunları uç ağ düzeyi görünümünde tanılamaya olanak sağlar. Sanal ağın bulunduğu her bölgede oluşturulacak bir ağ izleme kaynak grubu olması gerekir. Bir ağ izleme kaynak grubu belirli bir bölgede kullanılamıyorsa bir uyarı etkinleştirilir. AuditIfNotExists, Disabled 3.0.0
Sanal makinelerin Konuk Yapılandırması uzantısı sistem tarafından atanan yönetilen kimlikle dağıtılacak Konuk Yapılandırması uzantısı, sistem tarafından atanan bir yönetilen kimlik gerektirir. Bu ilke kapsamındaki Azure sanal makineleri Konuk Yapılandırması uzantısını yüklemiş ancak sistem tarafından atanmış yönetilen kimliği olmayan sanal makineler uyumlu olmayacaktır. Daha fazla bilgi için: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Bellek Koruması

Kimlik: FedRAMP Orta SI-16

Name
(Azure portal)
Description Etkileri Sürüm
(GitHub)
Azure Defender için yapılandırma etkinleştirilmelidir Azure Defender, sunucu iş yükleri için gerçek zamanlı tehdit koruması sağlar ve hem sağlamlaştırma önerileri hem de şüpheli etkinliklerle ilgili uyarılar üretir. AuditIfNotExists, Disabled 1.0.3
Windows Defender Makineleriniz üzerinde Exploit Guard etkinleştirilmelidir Windows Defender Exploit Guard, konuk Azure İlkesi aracıyı kullanır. Exploit Guard, cihazları çok çeşitli saldırı vektörlerine karşı kilitlemek ve kötü amaçlı yazılım saldırılarında yaygın olarak kullanılan davranışları engellemek için tasarlanmış dört bileşene sahiptir ve kuruluşların güvenlik riski ve üretkenlik gereksinimlerini dengelemesini sağlar (yalnızca Windows). AuditIfNotExists, Disabled 1.1.1

Sonraki adımlar

Uygulama hakkında ek Azure İlkesi: