UK OFFICIAL ve UK NHS Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları
Aşağıdaki makalede, Azure İlkesi Mevzuat Uyumluluğu yerleşik girişim tanımının UK OFFICIAL ve UK NHS'deki uyumluluk etki alanları ve denetimlerle nasıl eşlenir? Bu uyumluluk standardı hakkında daha fazla bilgi için bkz . UK OFFICIAL ve UK NHS. Sahipliği anlamak için bkz. Azure İlkesi ilke tanımı ve Bulutta paylaşılan sorumluluk.
Aşağıdaki eşlemeler UK OFFICIAL ve UK NHS denetimlerine yöneliktir. Denetimlerin çoğu Azure İlkesi girişim tanımıyla uygulanır. Girişim tanımının tamamını gözden geçirmek için Azure portalında İlke'yi açın ve Tanımlar sayfasını seçin. Ardından UK OFFICIAL ve UK NHS Mevzuat Uyumluluğu yerleşik girişim tanımını bulun ve seçin.
Önemli
Aşağıdaki her denetim bir veya daha fazla Azure İlkesi tanımıyla ilişkilendirilir. Bu ilkeler denetimle uyumluluğu değerlendirmenize yardımcı olabilir; ancak genellikle bir denetim ile bir veya daha fazla ilke arasında bire bir veya tam eşleşme yoktur. Bu nedenle, Azure İlkesi uyumlu yalnızca ilke tanımlarını ifade eder; bu, bir denetimin tüm gereksinimleriyle tam olarak uyumlu olduğunuzdan emin olmaz. Buna ek olarak, uyumluluk standardı şu anda hiçbir Azure İlkesi tanımı tarafından ele alınmayacak denetimleri içerir. Bu nedenle, Azure İlkesi uyumluluk, genel uyumluluk durumunuzun yalnızca kısmi bir görünümüdür. Bu uyumluluk standardı için uyumluluk etki alanları, denetimler ve Azure İlkesi tanımları arasındaki ilişkilendirmeler zaman içinde değişebilir. Değişiklik geçmişini görüntülemek için bkz . GitHub İşleme Geçmişi.
Aktarım korumasındaki veriler
Aktarım korumasındaki veriler
Kimlik: UK NCSC CSP 1 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 4.0.0 |
| İşlev uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 5.0.0 |
| Yalnızca Redis için Azure Cache güvenli bağlantılar etkinleştirilmelidir | yalnızca SSL üzerinden Redis için Azure Cache bağlantıların etkinleştirilmesini denetleyin. Güvenli bağlantıların kullanılması sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Depolama hesaplarına güvenli aktarım etkinleştirilmelidir | Depolama hesabınızda güvenli aktarım denetimi gereksinimi. Güvenli aktarım, depolama hesabınızı yalnızca güvenli bağlantılardan (HTTPS) gelen istekleri kabul etmeye zorlayan bir seçenektir. HTTPS kullanımı sunucu ile hizmet arasında kimlik doğrulamasını sağlar ve aktarımdaki verileri ortadaki adam, gizlice dinleme ve oturum ele geçirme gibi ağ katmanı saldırılarından korur | Denetim, Reddetme, Devre Dışı | 2.0.0 |
| Windows makineleri güvenli iletişim protokollerini kullanacak şekilde yapılandırılmalıdır | İnternet üzerinden iletişim kuran bilgilerin gizliliğini korumak için makineleriniz endüstri standardı şifreleme protokolünün en son sürümünü (Aktarım Katmanı Güvenliği (TLS) kullanmalıdır. TLS, makineler arasındaki bağlantıyı şifreleyerek ağ üzerinden iletişimin güvenliğini sağlar. | AuditIfNotExists, Devre Dışı | 4.1.1 |
Kimlik ve kimlik doğrulaması
Kimlik ve kimlik doğrulaması
Kimlik: UK NCSC CSP 10 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Kimliksiz sanal makinelerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ancak yönetilen kimlikleri olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| Kullanıcı tarafından atanan kimliğe sahip VM'lerde Konuk Yapılandırması atamalarını etkinleştirmek için sistem tarafından atanan yönetilen kimlik ekleme | Bu ilke, Azure'da barındırılan ve Konuk Yapılandırması tarafından desteklenen ve en az bir kullanıcı tarafından atanan kimliğe sahip olan ancak sistem tarafından atanan yönetilen kimliğe sahip olmayan sanal makinelere sistem tarafından atanan bir yönetilen kimlik ekler. Sistem tarafından atanan yönetilen kimlik, tüm Konuk Yapılandırması atamaları için önkoşuldur ve Konuk Yapılandırması ilke tanımları kullanılmadan önce makinelere eklenmelidir. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | değiştir | 4.1.0 |
| SQL sunucuları için bir Azure Active Directory yöneticisi sağlanmalıdır | Azure AD kimlik doğrulamasını etkinleştirmek için SQL sunucunuz için Bir Azure Active Directory yöneticisinin sağlanmasını denetleyin. Azure AD kimlik doğrulaması, veritabanı kullanıcılarının ve diğer Microsoft hizmetleri basitleştirilmiş izin yönetimi ve merkezi kimlik yönetimi sağlar | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Parolasız hesaplardan uzak bağlantılara izin veren Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parolasız hesaplardan uzak bağlantılara izin veren Linux makineleri uyumlu değilse makineler uyumlu değil | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Passwd dosya izinleri 0644 olarak ayarlı olmayan Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Passwd dosya izinleri 0644 olarak ayarlanmamış Linux makineleri uyumlu değil | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Parolasız hesapları olan Linux makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parolasız hesapları olan Linux makineleri uyumlu değilse makineler uyumlu değil | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Yönetilen disk kullanmayan VM'leri denetleme | Bu ilke yönetilen diskleri kullanmayan VM’leri denetler | denetim | 1.0.0 |
| Belirtilen sayıda benzersiz paroladan sonra parolaların yeniden kullanılmasına izin veren Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Belirtilen sayıda benzersiz paroladan sonra parolaların yeniden kullanılmasına izin veren Windows makineleri uyumlu değil. Benzersiz parolalar için varsayılan değer 24'dür | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Parola yaşı üst sınırı belirtilen gün sayısına ayarlı olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parola yaşı üst sınırı belirtilen gün sayısına ayarlanmamış Windows makineleri uyumlu değildir. En fazla parola yaşı için varsayılan değer 70 gündür | AuditIfNotExists, Devre Dışı | 2.1.0 |
| En düşük parola yaşı belirtilen gün sayısına ayarlı olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. En düşük parola yaşı belirtilen gün sayısına ayarlanmamış Windows makineleri uyumlu değildir. En düşük parola yaşı için varsayılan değer 1 gündür | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Parola karmaşıklığı ayarı etkin olmayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. Parola karmaşıklığı ayarı etkin olmayan Windows makineleri uyumlu değil | AuditIfNotExists, Devre Dışı | 2.0.0 |
| En düşük parola uzunluğunu belirtilen sayıda karakterle kısıtlamayan Windows makinelerini denetleme | Önkoşulların ilke atama kapsamına dağıtılmalarını gerektirir. Ayrıntılar için adresini ziyaret edin https://aka.ms/gcpol. En düşük parola uzunluğunu belirtilen sayıda karakterle kısıtlamayan Windows makineleri uyumlu değildir. En düşük parola uzunluğu için varsayılan değer 14 karakterdir | AuditIfNotExists, Devre Dışı | 2.1.0 |
| Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır | Sahip izinleri olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır | Kullanım dışı bırakılan hesaplar aboneliklerinizden kaldırılmalıdır. Kullanım dışı bırakılan hesaplar, oturum açması engellenen hesaplardır. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Linux VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Linux Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Linux sanal makinelerine Linux Konuk Yapılandırması uzantısını dağıtır. Linux Konuk Yapılandırması uzantısı, tüm Linux Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Linux Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Windows VM'lerinde Konuk Yapılandırma atamalarını etkinleştirmek için Windows Konuk Yapılandırması uzantısını dağıtma | Bu ilke, Konuk Yapılandırması tarafından desteklenen Azure'da barındırılan Windows sanal makinelerine Windows Konuk Yapılandırması uzantısını dağıtır. Windows Konuk Yapılandırması uzantısı, tüm Windows Konuk Yapılandırması atamaları için bir önkoşuldur ve herhangi bir Windows Konuk Yapılandırması ilke tanımı kullanmadan önce makinelere dağıtılmalıdır. Konuk Yapılandırması hakkında daha fazla bilgi için adresini ziyaret edin https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Service Fabric kümeleri yalnızca istemci kimlik doğrulaması için Azure Active Directory kullanmalıdır | İstemci kimlik doğrulamasının kullanımını yalnızca Service Fabric'te Azure Active Directory aracılığıyla denetleme | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Depolama hesapları yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için depolama hesaplarınız için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
| Sanal makineler yeni Azure Resource Manager kaynaklarına geçirilmelidir | Daha güçlü erişim denetimi (RBAC), daha iyi denetim, Azure Resource Manager tabanlı dağıtım ve idare, yönetilen kimliklere erişim, gizli diziler için anahtar kasasına erişim, Azure AD tabanlı kimlik doğrulaması ve daha kolay güvenlik yönetimi için etiketler ve kaynak grupları desteği gibi güvenlik geliştirmeleri sağlamak için sanal makineleriniz için yeni Azure Resource Manager'ı kullanın. | Denetim, Reddetme, Devre Dışı | 1.0.0 |
Dış arabirim koruması
Dış arabirim koruması
Kimlik: UK NCSC CSP 11 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Makinelerinizde güvenli uygulamaları tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir | Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Uyarlamalı ağ sağlamlaştırma önerileri İnternet'e yönelik sanal makinelere uygulanmalıdır | Azure Güvenlik Merkezi İnternet'e yönelik sanal makinelerin trafik desenlerini analiz eder ve olası saldırı yüzeyini azaltan Ağ Güvenlik Grubu kural önerileri sağlar | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Tüm ağ bağlantı noktaları sanal makinenizle ilişkili ağ güvenlik gruplarında kısıtlanmalıdır | Azure Güvenlik Merkezi bazı ağ güvenlik gruplarınızın gelen kurallarının çok izinli olduğunu belirledi. Gelen kuralları 'Any' veya 'Internet' aralıklarından erişime izin vermemelidir. Bu, saldırganların kaynaklarınızı hedeflemesine olanak sağlayabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| App Service uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, bir App Service uygulamasında gelen bağlantı noktalarının açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Uç nokta koruma çözümü sanal makine ölçek kümelerine yüklenmelidir | Sanal makinelerinizin ölçek kümelerinde bir uç nokta koruma çözümünün varlığını ve durumunu denetleyarak bunları tehditlere ve güvenlik açıklarına karşı koruyun. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| İşlev uygulamalarında uzaktan hata ayıklama kapalı olmalıdır | Uzaktan hata ayıklama, gelen bağlantı noktalarının İşlev uygulamalarında açılmasını gerektirir. Uzaktan hata ayıklama kapatılmalıdır. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Sanal makinelerin yönetim bağlantı noktaları tam zamanında ağ erişim denetimiyle korunmalıdır | Olası tam zamanında ağ (JIT) erişimi, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
Kullanıcılar için denetim bilgileri
Kullanıcılar için denetim bilgileri
Kimlik: UK NCSC CSP 13 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Seçili kaynak türleri için tanılama ayarını denetleme | Seçili kaynak türleri için tanılama ayarını denetleyin. Yalnızca tanılama ayarlarını destekleyen kaynak türlerini seçtiğinizden emin olun. | AuditIfNotExists | 2.0.1 |
| SQL server'da denetim etkinleştirilmelidir | Sql Server'ınızdaki denetim, sunucudaki tüm veritabanlarındaki veritabanı etkinliklerini izlemek ve bunları bir denetim günlüğüne kaydetmek için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
Varlık koruması ve dayanıklılık
Bekleyen veriler koruması
Kimlik: UK NCSC CSP 2.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Otomasyon hesabı değişkenleri şifrelenmelidir | Hassas verileri depolarken Otomasyon hesabı değişken varlıklarının şifrelenmesini etkinleştirmek önemlidir | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| Service Fabric kümelerinde ClusterProtectionLevel özelliği EncryptAndSign olarak ayarlanmalıdır | Service Fabric, birincil küme sertifikası kullanarak düğümden düğüme iletişim için üç koruma düzeyi (None, Sign ve EncryptAndSign) sağlar. Tüm düğümden düğüme iletilerin şifrelenmesini ve dijital olarak imzalanmasını sağlamak için koruma düzeyini ayarlayın | Denetim, Reddetme, Devre Dışı | 1.1.0 |
| SQL veritabanlarında Saydam Veri Şifrelemesi etkinleştirilmelidir | Bekleyen verileri korumak ve uyumluluk gereksinimlerini karşılamak için saydam veri şifreleme etkinleştirilmelidir | AuditIfNotExists, Devre Dışı | 2.0.0 |
| Sanal makineler, İşlem ve Depolama kaynakları arasındaki geçici diskleri, önbellekleri ve veri akışlarını şifrelemelidir | Varsayılan olarak, sanal makinenin işletim sistemi ve veri diskleri platform tarafından yönetilen anahtarlar kullanılarak bekleme sırasında şifrelenir. Geçici diskler, veri önbellekleri ve işlem ile depolama arasında akan veriler şifrelenmez. Şu durumda bu öneriyi göz ardı edin: 1. veya 2 kullanarak. Yönetilen Diskler sunucu tarafı şifrelemesi güvenlik gereksinimlerinizi karşılar. Daha fazla bilgi için bkz. Azure Disk Depolama sunucu tarafı şifrelemesi: https://aka.ms/disksse, Farklı disk şifreleme teklifleri:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Devre Dışı | 2.0.3 |
İşletimsel güvenlik
Güvenlik açığı yönetimi
Kimlik: UK NCSC CSP 5.2 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Sanal makinelerinizde bir güvenlik açığı değerlendirme çözümü etkinleştirilmelidir | Desteklenen bir güvenlik açığı değerlendirme çözümü çalıştırıp çalıştırmadıklarını algılamak için sanal makineleri denetler. Her siber risk ve güvenlik programının temel bileşenlerinden biri güvenlik açıklarının belirlenmesi ve analizidir. Azure Güvenlik Merkezi standart fiyatlandırma katmanı, ek ücret ödemeden sanal makineleriniz için güvenlik açığı taramasını içerir. Ayrıca Güvenlik Merkezi bu aracı sizin için otomatik olarak dağıtabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Korumasız Azure SQL sunucuları için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş Veri Güvenliği olmadan SQL sunucularını denetleme | AuditIfNotExists, Devre Dışı | 2.0.1 |
| KORUMASız SQL Yönetilen Örneği için SQL için Azure Defender etkinleştirilmelidir | Gelişmiş veri güvenliği olmadan her SQL Yönetilen Örneği denetleme. | AuditIfNotExists, Devre Dışı | 1.0.2 |
| Azure Güvenlik Merkezi'da eksik Endpoint Protection'ın izlenmesi | Endpoint Protection aracısı yüklü olmayan sunucular Azure Güvenlik Merkezi tarafından öneri olarak izlenir | AuditIfNotExists, Devre Dışı | 3.0.0 |
| SQL veritabanlarında güvenlik açığı bulguları çözümlenmelidir | Veritabanı güvenlik açıklarını düzeltmeye yönelik güvenlik açığı değerlendirmesi tarama sonuçlarını ve önerilerini izleyin. | AuditIfNotExists, Devre Dışı | 4.1.0 |
| Sanal makine ölçek kümelerinde sistem güncelleştirmeleri yüklenmelidir | Windows ve Linux sanal makine ölçek kümelerinizin güvende olduğundan emin olmak için yüklenmesi gereken eksik sistem güvenlik güncelleştirmelerinin ve kritik güncelleştirmelerin olup olmadığını denetleyin. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Sistem güncelleştirmeleri makinelerinize yüklenmelidir | Sunucularınızdaki eksik güvenlik sistemi güncelleştirmeleri, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 4.0.0 |
| Makinelerinizdeki güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Yapılandırılan temeli karşılamayan sunucular, öneri olarak Azure Güvenlik Merkezi tarafından izlenir | AuditIfNotExists, Devre Dışı | 3.1.0 |
| Sanal makine ölçek kümelerinizde güvenlik yapılandırmasındaki güvenlik açıkları düzeltilmelidir | Sanal makine ölçek kümelerinizdeki işletim sistemi güvenlik açıklarını denetleyarak saldırılara karşı koruyun. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Güvenlik açığı değerlendirmesi SQL Yönetilen Örneği etkinleştirilmelidir | Yinelenen güvenlik açığı değerlendirmesi taramalarının etkinleştirilmediği her SQL Yönetilen Örneği denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. | AuditIfNotExists, Devre Dışı | 1.0.1 |
| SQL sunucularınızda güvenlik açığı değerlendirmesi etkinleştirilmelidir | Güvenlik açığı değerlendirmesi düzgün yapılandırılmamış Azure SQL sunucularını denetleyin. Güvenlik açığı değerlendirmesi olası veritabanı güvenlik açıklarını bulabilir, izleyebilir ve düzeltmenize yardımcı olabilir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
Koruyucu İzleme
Kimlik: UK NCSC CSP 5.3 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Makinelerinizde güvenli uygulamaları tanımlamaya yönelik uyarlamalı uygulama denetimleri etkinleştirilmelidir | Makinelerinizde çalışan bilinen güvenli uygulamaların listesini tanımlamak ve diğer uygulamalar çalıştığında sizi uyarmak için uygulama denetimlerini etkinleştirin. Bu, makinelerinizi kötü amaçlı yazılımlara karşı sağlamlaştırmaya yardımcı olur. Güvenlik Merkezi, kurallarınızı yapılandırma ve koruma sürecini basitleştirmek için makine öğrenmesini kullanarak her makinede çalışan uygulamaları analiz eder ve bilinen güvenli uygulamalar listesini önerir. | AuditIfNotExists, Devre Dışı | 3.0.0 |
| Olağanüstü durum kurtarma yapılandırılmadan sanal makineleri denetleme | Olağanüstü durum kurtarma yapılandırılmamış sanal makineleri denetleme. Olağanüstü durum kurtarma hakkında daha fazla bilgi edinmek için adresini ziyaret edin https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Azure DDoS Koruması etkinleştirilmelidir | DDoS koruması, genel IP'ye sahip bir uygulama ağ geçidinin parçası olan bir alt ağa sahip tüm sanal ağlar için etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 3.0.1 |
| Depolama hesapları ağ erişimini kısıtlamalıdır | Depolama hesaplarına ağ erişimi kısıtlanmalıdır. Yalnızca izin verilen ağlardan gelen uygulamaların depolama hesabına erişebilmesi için ağ kurallarını yapılandırın. Belirli İnternet veya şirket içi istemcilerden gelen bağlantılara izin vermek için, belirli Azure sanal ağlarından veya genel İnternet IP adresi aralıklarından gelen trafiğe erişim verilebilir | Denetim, Reddetme, Devre Dışı | 1.1.1 |
Güvenli kullanıcı yönetimi
Kullanıcıların yönetim arabirimlerine ve destek kanallarına kimlik doğrulaması
Kimlik: UK NCSC CSP 9.1 Sahipliği: Paylaşılan
| Veri Akışı Adı (Azure portalı) |
Açıklama | Etkiler | Sürüm (GitHub) |
|---|---|---|---|
| Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir | Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir | Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında Multi-Factor Authentication (MFA) etkinleştirilmelidir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için sahip izinlerine sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için okuma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
| Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır | İzlenmeyen erişimi önlemek için yazma ayrıcalıklarına sahip dış hesapların aboneliğinizden kaldırılması gerekir. | AuditIfNotExists, Devre Dışı | 1.0.0 |
Sonraki adımlar
Azure İlkesi hakkında ek makaleler:
- Mevzuat Uyumluluğuna genel bakış.
- Girişim tanımı yapısına bakın.
- Azure İlkesi örneklerinde diğer örnekleri gözden geçirin.
- İlkenin etkilerini anlama konusunu gözden geçirin.
- Uyumlu olmayan kaynakları düzeltmeyi öğrenin.