CIS Microsoft Azure 基礎基準測試 1.1.0 法規遵循內建計畫的詳細資料
下列文章詳細說明 Azure 原則法規遵循內建計畫定義如何對應至 對應至 CIS Microsoft Azure 基礎基準測試 1.1.0 中的合規性網域和控制項。 如需關於此合規性標準的詳細資訊,請參閱 CIS Microsoft Azure 基礎基準測試 1.1.0。 若要了解所有權,請參閱 Azure 原則原則定義與雲端中共同承擔的責任。
下列是 CIS Microsoft Azure 基礎基準測試 1.1.0 控制項的對應。 許多控制措施都是以 Azure 原則方案定義實作的。 若要檢閱完整方案定義,請在 Azure 入口網站中開啟 [原則],然後選取 [定義] 頁面。 然後,尋找並選取 CIS Microsoft Azure 基礎基準測試 1.1.0 法規遵循內建計畫的定義。
重要
下列每個控制措施都與一或多個 Azure 原則定義相關聯。 這些原則可協助您使用工具存取合規性;不過,控制措施和一或多個原則之間,通常不是一對一或完整對應。 因此,Azure 原則中的符合規範只是指原則定義本身,這不保證您完全符合所有控制措施需求的規範。 此外,合規性標準包含目前未由任何 Azure 原則定義解決的控制措施。 因此,Azure 原則中的合規性只是整體合規性狀態的部分觀點。 此合規性標準的合規性領域、控制措施與 Azure 原則定義之間的關聯,可能會隨著時間而改變。 若要檢視變更歷程記錄,請參閱 GitHub 認可歷程記錄 \(英文\)。
1 身分識別和存取管理
確定已為所有具特殊權限的使用者啟用多重要素驗證
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源擁有者權限的帳戶應啟用 MFA | 具備擁有者權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的帳戶應啟用 MFA | 具備寫入權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
請確認將「使用者可以將程式庫應用程式新增至其存取面板」設定為「否」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.10 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
請確認將「使用者可以註冊應用程式」設定為「否」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.11 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
請確認將「限制來賓使用者權限」設定為「是」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.12 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
請確認將「成員可邀請」設定為「否」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.13 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
請確認將「來賓可邀請」設定為「否」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.14 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
請確認將「限制存取 Azure AD 管理入口網站」設定為「是」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.15 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
確認將「已啟用自助群組管理」設定為「否」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.16 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
確認將「使用者可以建立安全性群組」設定為「否」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.17 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
確認將「可管理安全性群組的使用者」設定為「無」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.18 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
確認將「使用者可以建立 Office 365 群組」設定為「否」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.19 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
確定已為所有不具特殊權限的使用者啟用多重要素驗證
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 具有 Azure 資源讀取權限的帳戶應啟用 MFA | 具備讀取權限的所有訂用帳戶,均應啟用多重要素驗證 (MFA),以避免發生帳戶或資源資料外洩。 | AuditIfNotExists, Disabled | 1.0.0 |
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
確認將「可管理 Office 365 群組的使用者」設定為「無」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.20 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
請確認將「需要多重要素驗證加入裝置」設定為「是」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.22 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 授權遠端存取 | CMA_0024 - 授權遠端存取 | 手動、已停用 | 1.1.0 |
| 記錄行動訓練 | CMA_0191 - 記錄行動訓練 | 手動、已停用 | 1.1.0 |
| 記錄遠端存取方針 | CMA_0196 - 記錄遠端存取方針 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 實作控制以保護替代工作站台 | CMA_0315 - 實作控制以保護替代工作站台 | 手動、已停用 | 1.1.0 |
| 提供隱私權訓練 | CMA_0415 - 提供隱私權訓練 | 手動、已停用 | 1.1.0 |
| 滿足權杖品質需求 | CMA_0487 - 滿足權杖品質需求 | 手動、已停用 | 1.1.0 |
確定不會建立自訂訂用帳戶擁有者角色
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.23 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 設計存取控制模型 | CMA_0129 - 設計存取控制模型 | 手動、已停用 | 1.1.0 |
| 採用最低權限存取權 | CMA_0212 - 採用最低權限存取權 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
確定沒有任何來賓使用者
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 具有 Azure 資源擁有者權限的來賓帳戶應移除 | 具有擁有者權限的外部帳戶應從您訂用帳戶移除,以避免未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源讀取權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有讀取權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 具有 Azure 資源寫入權限的來賓帳戶應移除 | 請移除您訂用帳戶中,具有寫入權限的外部帳戶,以避免出現未受監視的存取。 | AuditIfNotExists, Disabled | 1.0.0 |
| 視需要重新指派或移除使用者權限 | CMA_C1040 - 根據需要重新指派或移除使用者權限 | 手動、已停用 | 1.1.0 |
| 檢閱帳戶佈建記錄 | CMA_0460 - 檢閱帳戶佈建記錄 | 手動、已停用 | 1.1.0 |
| 檢閱使用者帳戶 | CMA_0480 - 檢閱使用者帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱使用者權限 | CMA_C1039 - 檢閱使用者權限 | 手動、已停用 | 1.1.0 |
請確認「允許使用者在信任的裝置上記住多重要素驗證」是「已停用」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 採用生物特徵驗證機制 | CMA_0005 - 採用生物特徵驗證機制 | 手動、已停用 | 1.1.0 |
| 識別並驗證網路裝置 | CMA_0296 - 識別並驗證網路裝置 | 手動、已停用 | 1.1.0 |
| 滿足權杖品質需求 | CMA_0487 - 滿足權杖品質需求 | 手動、已停用 | 1.1.0 |
確認未將「要求使用者重新確認其驗證資訊之前所等候的天數」設定為「0」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
請確認將「密碼重設時通知使用者嗎?」 設定為「是」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
請確認將「是否要在其他系統管理員重設他們的密碼時,通知所有的系統管理員?」 設定為「是」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.8 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 實作保護驗證器的訓練 | CMA_0329 - 實作保護驗證器的訓練 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 稽核特殊權限功能 | CMA_0378 - 監視特殊權限角色指派 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
| 限制特殊權限帳戶的存取 | CMA_0446 - 限制特殊權限帳戶的存取 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| 使用具特殊權限身分識別管理 | CMA_0533 - 使用具特殊權限身分識別管理 | 手動、已停用 | 1.1.0 |
請確認將「使用者可同意應用程式代表自己存取公司資料」設定為「否」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 1.9 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
2 資訊安全中心
確定已選取標準定價層
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用適用於 App Service 的 Azure Defender | 適用於 App Service 的 Azure Defender 利用雲端的規模及雲端提供者 Azure 擁有的廣大視野,監視常見的 Web 應用程式攻擊。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於 Azure SQL Database 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 應啟用適用於 Key Vault 的 Azure Defender | 適用於 Key Vault 的 Azure Defender 會透過偵測嘗試存取或惡意探索金鑰保存庫帳戶的異常及潛在有害威脅,提供一層額外的保護和安全情報。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於伺服器的 Azure Defender | 適用於伺服器的 Azure Defender 會為伺服器工作負載提供即時的威脅防護,並產生強化建議與可疑活動警示。 | AuditIfNotExists, Disabled | 1.0.3 |
| 應啟用適用於機器上 SQL 伺服器的 Azure Defender | 適用於 SQL 的 Azure Defender 會提供找出潛在資料庫弱點並降低其風險的功能,以偵測可能對 SQL 資料庫造成威脅的異常活動,以及探索並分類敏感性資料。 | AuditIfNotExists, Disabled | 1.0.2 |
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 偵測未獲授權或核准的網路服務 | CMA_C1700 - 偵測尚未獲得授權或核准的網路服務 | 手動、已停用 | 1.1.0 |
| 管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
| 應啟用適用於容器的 Microsoft Defender | 適用於容器的 Microsoft Defender 為您的 Azure、混合式和多雲端 Kube 環境提供強化、弱點評量及執行階段保護。 | AuditIfNotExists, Disabled | 1.0.0 |
| 應該啟用適用於儲存體的 Microsoft Defender | 適用於儲存體的 Microsoft Defender 會偵測儲存體帳戶的潛在威脅。 其有助於防止資料和工作負載受到三大影響:惡意檔案上傳、敏感性資料外流和資料損毀。 新的適用於儲存體的 Defender 方案包括惡意程式碼掃描和敏感性資料威脅偵測。 此方案也提供可預測的定價結構 (每一儲存體帳戶),以控制涵蓋範圍和成本。 | AuditIfNotExists, Disabled | 1.0.0 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
| 每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
| 更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
確定 ASC 預設原則設定 [監視弱點評估] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.10 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 虛擬機器上應啟用弱點評估解決方案 | 稽核虛擬機器,以偵測其是否正在執行支援的弱點評估解決方案。 每個網路風險和安全性計畫的核心部分都在於識別和分析弱點。 Azure 資訊安全中心的標準定價層包含掃描虛擬機器的弱點,不需額外費用。 此外,資訊安全中心可以自動為您部署此工具。 | AuditIfNotExists, Disabled | 3.0.0 |
確定 ASC 預設原則設定 [監視儲存體 Blob 加密] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.11 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
確定 ASC 預設原則設定 [監視 JIT 網路存取] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.12 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 偵測未獲授權或核准的網路服務 | CMA_C1700 - 偵測尚未獲得授權或核准的網路服務 | 手動、已停用 | 1.1.0 |
| 應使用 Just-In-Time 網路存取控制來保護虛擬機器的管理連接埠 | Azure 資訊安全中心會依建議監視可能的網路 Just-In-Time (JIT) 存取 | AuditIfNotExists, Disabled | 3.0.0 |
確定 ASC 預設原則設定 [監視自適性應用程式允許清單] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.13 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的電腦應啟用自適性應用程式控制,以定義安全應用程式 | 啟用應用程式控制項,以定義在您的電腦上執行的已知安全應用程式清單,並在其他應用程式執行時發出警示。 這有助於強化機器,以防範惡意程式碼的攻擊。 為了簡化設定和維護規則的程序,資訊安全中心使用機器學習來分析在每個機器上執行的應用程式,並建議已知安全的應用程式清單。 | AuditIfNotExists, Disabled | 3.0.0 |
確定 ASC 預設原則設定 [監視 SQL 稽核] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.14 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定 ASC 預設原則設定 [監視 SQL 加密] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.15 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
| 應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
確定已設定 [安全性連絡人電子郵件]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.16 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 訂用帳戶應具有連絡人電子郵件地址以處理安全性問題 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請設定要接收資訊安全中心所傳來電子郵件通知的安全性連絡人。 | AuditIfNotExists, Disabled | 1.0.1 |
確定 [在出現高嚴重性警示時傳送電子郵件通知] 會設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.18 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對高嚴重性警示啟用電子郵件通知 | 為確保在您的其中一個訂用帳戶有潛在安全性缺口時,您組織中的相關人員會收到通知,請在資訊安全中心內啟用高嚴重性警示的電子郵件通知。 | AuditIfNotExists, Disabled | 1.1.0 |
確定 [同時將電子郵件傳送給訂用帳戶擁有者] 會設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.19 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應已針對高嚴重性警示啟用傳送給訂用帳戶擁有者的電子郵件通知 | 為確保訂用帳戶擁有者會在其訂用帳戶有潛在安全性缺口時收到通知,請在資訊安全中心內設定發送對象為訂用帳戶擁有者的高嚴重性警示電子郵件通知。 | AuditIfNotExists, Disabled | 2.1.0 |
確定 [監視代理程式的自動化佈建] 會設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 您的訂用帳戶上應啟用 Log Analytics 代理程式的自動化佈建 | 為了監視是否有安全性弱點及威脅,Azure 資訊安全中心會從 Azure 虛擬機器收集資料。 資料會由 Log Analytics 代理程式 (先前稱為 Microsoft Monitoring Agent (MMA)) 進行收集,收集的方式是讀取機器的各種安全性相關組態和事件記錄,並將資料複製到 Log Analytics 工作區進行分析。 建議您啟用自動佈建,以將代理程式自動部署到所有受支援的 Azure VM 和任何新建立的 VM。 | AuditIfNotExists, Disabled | 1.0.1 |
| 記錄安全性作業 | CMA_0202 - 記錄安全性作業 | 手動、已停用 | 1.1.0 |
| 開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
確定 ASC 預設原則設定 [監視系統更新] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 您應在機器上安裝系統更新 | Azure 資訊安全中心會依建議監視伺服器上缺少的安全性系統更新 | AuditIfNotExists, Disabled | 4.0.0 |
確定 ASC 預設原則設定 [監視 OS 弱點] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 您應在機器上修復安全性組態的弱點 | Azure 資訊安全中心會依建議監視不符合設定基準的伺服器 | AuditIfNotExists, Disabled | 3.1.0 |
確定 ASC 預設原則設定 [監視端點保護] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
| 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection | Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器 | AuditIfNotExists, Disabled | 3.0.0 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
| 每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
| 更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
確定 ASC 預設原則設定 [監視磁碟加密] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
| 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
確定 ASC 預設原則設定 [監視網路安全性群組] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應在網際網路對應的虛擬機器上套用自適性網路強化建議 | Azure 資訊安全中心會分析網際網路對向虛擬機器的流量模式,然後提供降低潛在攻擊面的網路安全性群組規則建議 | AuditIfNotExists, Disabled | 3.0.0 |
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
確認 ASC 預設原則設定「監視 Web 應用程式防火牆 」不是「已停用」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.8 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
確定 ASC 預設原則設定 [啟用新一代防火牆 (NGFW) 監視] 不是 [已停用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 2.9 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 應使用網路安全性群組保護網際網路對應的虛擬機器 | 使用網路安全性群組 (NSG) 限制對虛擬機器的存取,以保護您的虛擬機器遠離潛在威脅。 若要深入了解如何使用 NSG 控制流量,請造訪 https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| 子網路應該與網路安全性群組建立關聯 | 使用網路安全性群組 (NSG) 限制 VM 的存取,保護您的子網路遠離潛在威脅。 NSG 包含存取控制清單 (ACL) 規則的清單,可允許或拒絕子網路的網路流量。 | AuditIfNotExists, Disabled | 3.0.0 |
3 儲存體帳戶
確定 [需要安全傳輸] 設定為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
| 應啟用儲存體帳戶的安全傳輸 | 稽核儲存體帳戶中安全傳輸的需求。 安全傳輸這個選項會強制您的儲存體帳戶僅接受來自安全連線 (HTTPS) 的要求。 使用 HTTPS 可確保伺服器與服務之間的驗證,避免傳輸中的資料遭受網路層的攻擊,例如中間人攻擊、竊聽及工作階段劫持 | Audit, Deny, Disabled | 2.0.0 |
請確認定期重新產生儲存體帳戶的存取金鑰
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯金鑰管理的組織需求 | CMA_0123 - 定義密碼編譯金鑰管理的組織需求 | 手動、已停用 | 1.1.0 |
| 決定判斷提示需求 | CMA_0136 - 決定判斷提示需求 | 手動、已停用 | 1.1.0 |
| 發行公開金鑰憑證 | CMA_0347 - 發行公開金鑰憑證 | 手動、已停用 | 1.1.0 |
| 管理對稱式密碼編譯金鑰 | CMA_0367 - 管理對稱式密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 限制私密金鑰的存取 | CMA_0445 - 限制私密金鑰的存取 | 手動、已停用 | 1.1.0 |
請確認已啟用佇列服務啟用儲存體記錄以供讀取、寫入和刪除要求
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 設定 Azure 稽核功能 | CMA_C1108 - 設定 Azure 稽核功能 | 手動、已停用 | 1.1.1 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
請確認共用存取簽章權杖在一小時內到期
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 終止時停用驗證器 | CMA_0169 - 終止時停用驗證器 | 手動、已停用 | 1.1.0 |
| 視需要撤銷特殊權限角色 | CMA_0483 - 視需要撤銷特殊權限角色 | 手動、已停用 | 1.1.0 |
| 自動終止使用者工作階段 | CMA_C1054 - 自動終止使用者工作階段 | 手動、已停用 | 1.1.0 |
確定共用存取簽章權杖只能在 HTTPS 上使用
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
請確認 blob 容器的「公用存取層級」設為「私用」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:應禁止儲存體帳戶公用存取 | 以匿名的公開讀取權限來存取 Azure 儲存體中的容器和 Blob,是共用資料的便利方式,但也可能會帶來安全性風險。 為了防止不想要的匿名存取所造成的資料缺口,Microsoft 建議除非您的案例需要,否則避免公開存取儲存體帳戶。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 3.1.0-preview |
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
確定儲存體帳戶的預設網路存取規則設定為拒絕
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 儲存體帳戶應限制網路存取 | 應限制對儲存體帳戶的網路存取。 請設定網路規則,只允許來自認可之網路的應用程式存取儲存體帳戶。 若要允許來自特定網際網路或內部部署用戶端的連線,可將存取權授與來自特定 Azure 虛擬網路的流量,或授與公用網際網路 IP 位址範圍 | Audit, Deny, Disabled | 1.1.1 |
確定已啟用 [信任的 Microsoft 服務] 來進行儲存體帳戶存取
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 3.8 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
| 建立防火牆和路由器設定標準 | CMA_0272 - 建立防火牆和路由器設定標準 | 手動、已停用 | 1.1.0 |
| 建立持卡人資料環境的網路分割 | CMA_0273 - 建立持卡人資料環境的網路分割 | 手動、已停用 | 1.1.0 |
| 識別並管理下游資訊交換 | CMA_0298 - 識別並管理下游資訊交換 | 手動、已停用 | 1.1.0 |
| 儲存體帳戶應允許來自信任 Microsoft 服務的存取 | 有些與儲存體帳戶互動的 Microsoft 服務是從無法透過網路規則授與存取權的網路運作。 若要讓這類服務如預期方式運作,請允許受信任的 Microsoft 服務集合略過網路規則。 這些服務會使用增強式驗證存取儲存體帳戶。 | Audit, Deny, Disabled | 1.0.0 |
4 資料庫服務
確定 [稽核] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 應啟用 SQL 伺服器上的稽核 | 應在 SQL Server 上啟用稽核,以追蹤伺服器上所有資料庫的活動,並儲存在稽核記錄中。 | AuditIfNotExists, Disabled | 2.0.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定 SQL 伺服器的 TDE 保護裝置已使用 BYOK 加密 (使用您自己的金鑰)
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.10 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
| SQL 受控執行個體應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.0 |
| SQL 伺服器應使用客戶自控金鑰來加密待用資料 | 實作具有自備金鑰的透明資料加密 (TDE),能夠增加 TDE 保護裝置的透明度及控制權、透過 HSM 支援的外部服務提高安全性,以及提升職權劃分。 這項建議適用於具有相關合規性需求的組織。 | Audit, Deny, Disabled | 2.0.1 |
確定會為 MySQL 資料庫伺服器將 [強制執行 SSL 連線] 設定為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.11 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 應為 MySQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 MySQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 MySQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
確定會為 PostgreSQL 資料庫伺服器將 [log_checkpoints] 伺服器參數設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.12 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 應為 PostgreSQL 資料庫伺服器啟用記錄檢查點 | 此原則可協助稽核您環境中任何未啟用 log_checkpoints 設定的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定會為 PostgreSQL 資料庫伺服器將 [強制執行 SSL 連線] 設定為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.13 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 應為 PostgreSQL 資料庫伺服器啟用 [強制執行 SSL 連線] | 適用於 PostgreSQL 的 Azure 資料庫支援使用安全通訊端層 (SSL),將適用於 PostgreSQL 的 Azure 資料庫伺服器連線至用戶端應用程式。 在您的資料庫伺服器和用戶端應用程式之間強制使用 SSL 連線,可將兩者之間的資料流加密,有助於抵禦「中間人」攻擊。 此設定會強制一律啟用 SSL,以存取您的資料庫伺服器。 | Audit, Disabled | 1.0.1 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
確定會為 PostgreSQL 資料庫伺服器將 [log_connections] 伺服器參數設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.14 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 應為 PostgreSQL 資料庫伺服器啟用記錄連線 | 此原則可協助稽核您環境中任何未啟用 log_connections 設定的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定會為 PostgreSQL 資料庫伺服器將 [log_disconnections] 伺服器參數設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.15 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 應為 PostgreSQL 資料庫伺服器記錄中斷連線。 | 此原則可協助稽核您環境中任何未啟用 log_disconnections 的 PostgreSQL 資料庫。 | AuditIfNotExists, Disabled | 1.0.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定會為 PostgreSQL 資料庫伺服器將 [log_duration] 伺服器參數設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.16 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定會為 PostgreSQL 資料庫伺服器將 [connection_throttling] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.17 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 應為 PostgreSQL 資料庫伺服器啟用連線節流 | 此原則可協助稽核您環境中任何未啟用連線節流的 PostgreSQL 資料庫。 此設定可針對每個發生太多無效密碼登入失敗的 IP 啟用暫時連線節流。 | AuditIfNotExists, Disabled | 1.0.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
請確認 PostgreSQL 資料庫伺服器的伺服器參數 'log_retention_days' 大於3天
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.18 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 控管並監視稽核處理活動 | CMA_0289 - 控管並監視稽核處理活動 | 手動、已停用 | 1.1.0 |
| 保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
確定已設定 Azure Active Directory 系統管理員
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.19 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
確定已在 SQL 伺服器的 [稽核] 原則中正確設定了 'AuditActionGroups' 原則
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
| SQL 審核設定應已設定動作群組來擷取重要活動 | AuditActionsAndGroups 屬性至少應包含 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP、FAILED_DATABASE_AUTHENTICATION_GROUP、BATCH_COMPLETED_GROUP,才可確保完整記錄稽核 | AuditIfNotExists, Disabled | 1.0.0 |
確定 [稽核] 保留期「大於 90 天」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 控管並監視稽核處理活動 | CMA_0289 - 控管並監視稽核處理活動 | 手動、已停用 | 1.1.0 |
| 保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
| 對儲存體帳戶目的地進行稽核的 SQL 伺服器保留期應設定為 90 天 (含) 以上 | 為了進行事件調查,建議您將 SQL Server 稽核儲存體帳戶目的地的資料保留設定為至少 90 天。 確認您符合您正在操作區域所需的保留規則。 有時候必須如此才能符合法規標準。 | AuditIfNotExists, Disabled | 3.0.0 |
確定 SQL 伺服器上的 [進階資料安全性] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應為未受保護的 Azure SQL 伺服器啟用適用於 SQL 的 Azure Defender | 在沒有「進階資料安全性」的情況下稽核 SQL 伺服器 | AuditIfNotExists, Disabled | 2.0.1 |
| 應為未受保護的 SQL 受控執行個體啟用適用於 SQL 的 Azure Defender | 在沒有進階資料安全性的情況下稽核 SQL 受控執行個體。 | AuditIfNotExists, Disabled | 1.0.2 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
確定 [威脅偵測類型] 設定為 [全部]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
確定已設定 [傳送警示給]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定 [電子郵件服務和共同管理員] 為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定已設定 Azure Active Directory 系統管理員
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.8 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應針對 SQL 伺服器佈建 Azure Active Directory 管理員 | 為 SQL Server 稽核 Azure Active Directory 系統管理員的佈建情況,以啟用 Azure AD 驗證。 Azure AD 驗證可針對資料庫使用者及其他 Microsoft 服務,簡化權限管理及集中管理身分識別 | AuditIfNotExists, Disabled | 1.0.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
確定 SQL Database 上的 [資料加密] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 4.9 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
| 應在 SQL 資料庫上啟用透明資料加密 | 應啟用透明資料加密,以保護待用資料,並滿足合規性需求 | AuditIfNotExists, Disabled | 2.0.0 |
5 記錄和監視
確定記錄設定檔存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| Azure 訂用帳戶應具有用於活動記錄的記錄設定檔 | 此原則可確保記錄設定檔已啟用,可用於匯出活動記錄。 如果沒有建立記錄檔設定檔來將記錄匯出至儲存體帳戶或事件中樞,則會進行稽核。 | AuditIfNotExists, Disabled | 1.0.0 |
| 控管並監視稽核處理活動 | CMA_0289 - 控管並監視稽核處理活動 | 手動、已停用 | 1.1.0 |
| 保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
確定 [活動記錄保留] 會設定為 365 天或更長天數
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 活動記錄至少應保留一年 | 若保留期未設為 365 天或永久 (保留期設為 0),此原則就會稽核活動記錄。 | AuditIfNotExists, Disabled | 1.0.0 |
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
確定稽核設定檔會擷取所有活動
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| Azure 監視器記錄設定檔應收集 [寫入]、[刪除] 和 [動作] 分類的記錄 | 此原則可確保記錄設定檔會收集「寫入」、「刪除」和「動作」類別的記錄 | AuditIfNotExists, Disabled | 1.0.0 |
| 控管並監視稽核處理活動 | CMA_0289 - 控管並監視稽核處理活動 | 手動、已停用 | 1.1.0 |
| 保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
確定記錄設定檔會擷取所有區域 (包括全球) 的活動記錄
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| Azure 監視器應從所有區域收集活動記錄 | 此原則會稽核不從所有 Azure 支援區域 (包括全球) 匯出活動的 Azure 監視器記錄設定檔。 | AuditIfNotExists, Disabled | 2.0.0 |
| 控管並監視稽核處理活動 | CMA_0289 - 控管並監視稽核處理活動 | 手動、已停用 | 1.1.0 |
| 保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
請確認儲存活動記錄的儲存體容器非公開存取
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [預覽]:應禁止儲存體帳戶公用存取 | 以匿名的公開讀取權限來存取 Azure 儲存體中的容器和 Blob,是共用資料的便利方式,但也可能會帶來安全性風險。 為了防止不想要的匿名存取所造成的資料缺口,Microsoft 建議除非您的案例需要,否則避免公開存取儲存體帳戶。 | 稽核、稽核、拒絕、拒絕、停用、停用 | 3.1.0-preview |
| 啟用雙重或聯合授權 | CMA_0226 - 啟用雙重或聯合授權 | 手動、已停用 | 1.1.0 |
| 保護稽核資訊 | CMA_0401 - 保護稽核資訊 | 手動、已停用 | 1.1.0 |
確保內含容器且有活動記錄的儲存體帳戶會以 BYOK (使用您自己的金鑰) 加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 啟用雙重或聯合授權 | CMA_0226 - 啟用雙重或聯合授權 | 手動、已停用 | 1.1.0 |
| 維護稽核系統的完整性 | CMA_C1133 - 維護稽核系統的完整性 | 手動、已停用 | 1.1.0 |
| 保護稽核資訊 | CMA_0401 - 保護稽核資訊 | 手動、已停用 | 1.1.0 |
| 儲存體帳戶內含的容器如有活動記錄,就必須以 BYOK 加密 | 此原則會稽核內含容器且有活動記錄的儲存體帳戶是否以 BYOK 加密。 根據設計,只有在儲存體帳戶位於與活動記錄相同的訂用帳戶時,原則才會生效。 如需 Azure 儲存體待用資料加密的詳細資訊,請參閱 https://aka.ms/azurestoragebyok。 | AuditIfNotExists, Disabled | 1.0.0 |
確定 Azure KeyVault 的記錄是 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.1.7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 稽核特殊權限功能 | CMA_0019 - 稽核特殊權限功能 | 手動、已停用 | 1.1.0 |
| 稽核使用者帳戶狀態 | CMA_0020 - 稽核使用者帳戶狀態 | 手動、已停用 | 1.1.0 |
| 決定可稽核的事件 | CMA_0137 - 決定可稽核的事件 | 手動、已停用 | 1.1.0 |
| 應啟用 Azure Key Vault 受控 HSM 中的資源記錄 | 若要在發生安全性事件或網路遭到入侵時,重新建立活動軌跡以供調查之用,您可能會想要在受控 HSM 上啟用資源記錄來進行稽核。 請遵照這裡的指示進行:https://docs.microsoft.com/azure/key-vault/managed-hsm/logging。 | AuditIfNotExists, Disabled | 1.1.0 |
| 應啟用 Key Vault 中的資源記錄 | 稽核資源記錄的啟用。 這可讓您在發生安全性事件或網路遭到損害時,重新建立活動線索以供調查之用 | AuditIfNotExists, Disabled | 5.0.0 |
| 檢閱稽核資料 | CMA_0466 - 檢閱稽核資料 | 手動、已停用 | 1.1.0 |
確定建立原則指派的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
| 特定原則作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定原則作業。 | AuditIfNotExists, Disabled | 3.0.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定建立或更新網路安全性群組的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定刪除網路安全性群組的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定建立或更新網路安全性群組規則的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定刪除網路安全性群組規則的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定建立或更新安全性解決方案的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定刪除安全性解決方案的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定建立、更新或刪除 SQL Server 防火牆規則的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.8 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
| 特定系統管理作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定系統管理作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
確定更新安全性原則的活動記錄警示是否存在
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 5.2.9 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 警示人員資訊洩漏 | CMA_0007 - 警示人員資訊洩漏 | 手動、已停用 | 1.1.0 |
| 特定安全性作業應有活動記錄警示 | 此原則會稽核未設定活動記錄警示的特定安全性作業。 | AuditIfNotExists, Disabled | 1.0.0 |
| 制定事件回應計畫 | CMA_0145 - 制定事件回應計畫 | 手動、已停用 | 1.1.0 |
| 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | CMA_0495 - 設定組織中新雲端應用程式和熱門雲端應用程式的自動通知 | 手動、已停用 | 1.1.0 |
6 網路功能
確認沒有 SQL 資料庫允許輸入 0.0.0.0/0 (任何 IP)
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 6.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 控制資訊流程 | CMA_0079 - 控制資訊流程 | 手動、已停用 | 1.1.0 |
| 採用加密資訊的流程控制機制 | CMA_0211 - 採用加密資訊的流程控制機制 | 手動、已停用 | 1.1.0 |
請確認網路安全性群組流程記錄保留期間為「大於90天」
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 6.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 遵守已定義的保留期間 | CMA_0004 - 遵守已定義的保留期間 | 手動、已停用 | 1.1.0 |
| 保留安全性原則及程序 | CMA_0454 - 保留安全性原則及程序 | 手動、已停用 | 1.1.0 |
| 保留離職的使用者資料 | CMA_0455 - 保留離職的使用者資料 | 手動、已停用 | 1.1.0 |
確定網路監看員為 [已啟用]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 6.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應啟用網路監看員 | 網路監看員是一項區域性服務,可讓您監視與診斷位於和進出 Azure 的網路案例層級條件。 案例層級監視可讓您在端對端網路層級檢視診斷問題。 您必須在存在虛擬網路的每個區域中,建立網路監看員資源群組。 如果特定區域無法使用網路監看員資源群組,就會啟用警示。 | AuditIfNotExists, Disabled | 3.0.0 |
| 驗證安全性功能 | CMA_C1708 - 驗證安全性功能 | 手動、已停用 | 1.1.0 |
7 虛擬機器
確定 [OS 磁碟] 已加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
| 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
確定 [資料磁碟] 已加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
| 虛擬機器應加密暫存磁碟、快取以及計算與儲存體資源之間的資料流程 | 根據預設,系統會使用平台代控金鑰對虛擬機器的作業系統和資料磁碟進行待用加密。 暫存磁碟、資料快取,以及在計算與儲存體之間流動的資料不會加密。 如果發生下列情形,則忽略此建議:1. 使用主機上的加密,或 2。 受控磁碟上的伺服器端加密符合您的安全性需求。 深入了解:Azure 磁碟儲存體的伺服器端加密:https://aka.ms/disksse,不同磁碟加密供應項目:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
確定 [未連結的磁碟] 已加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立資料外洩管理程序 | CMA_0255 - 建立資料外洩管理程序 | 手動、已停用 | 1.1.0 |
| 實作控制以保護所有媒體 | CMA_0314 - 實作控制以保護所有媒體 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 保護特殊資訊 | CMA_0409 - 保護特殊資訊 | 手動、已停用 | 1.1.0 |
確定只安裝核准的擴充功能
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 僅應安裝已核准的 VM 擴充功能 | 此原則會控管未核准的虛擬機器延伸模組。 | Audit, Deny, Disabled | 1.0.0 |
確定已為所有虛擬機器套用最新 OS 修補程式
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
| 您應在機器上安裝系統更新 | Azure 資訊安全中心會依建議監視伺服器上缺少的安全性系統更新 | AuditIfNotExists, Disabled | 4.0.0 |
確定已為所有虛擬機器安裝端點
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 7.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 封鎖從 USB 執行的未受信任與未簽署處理序 | CMA_0050 - 封鎖從 USB 執行的未受信任與未簽署處理序 | 手動、已停用 | 1.1.0 |
| 記錄安全性作業 | CMA_0202 - 記錄安全性作業 | 手動、已停用 | 1.1.0 |
| 管理閘道 | CMA_0363 - 管理閘道 | 手動、已停用 | 1.1.0 |
| 在 Azure 資訊安全中心中監視缺少的 Endpoint Protection | Azure 資訊安全中心會依建議監視未安裝 Endpoint Protection 代理程式的伺服器 | AuditIfNotExists, Disabled | 3.0.0 |
| 對威脅執行趨勢分析 | CMA_0389 - 對威脅執行趨勢分析 | 手動、已停用 | 1.1.0 |
| 執行弱點掃描 | CMA_0393 - 執行弱點掃描 | 手動、已停用 | 1.1.0 |
| 每週檢閱惡意程式碼偵測報告 | CMA_0475 - 每週檢閱惡意程式碼偵測報告 | 手動、已停用 | 1.1.0 |
| 每週檢閱威脅防護狀態 | CMA_0479 - 每週檢閱威脅防護狀態 | 手動、已停用 | 1.1.0 |
| 開啟端點安全性解決方案的感應器 | CMA_0514 - 開啟端點安全性解決方案的感應器 | 手動、已停用 | 1.1.0 |
| 更新防毒定義 | CMA_0517 - 更新防毒定義 | 手動、已停用 | 1.1.0 |
| 驗證軟體、韌體和資訊完整性 | CMA_0542 - 驗證軟體、韌體和資訊完整性 | 手動、已停用 | 1.1.0 |
8 其他安全性考量
確定已設定所有金鑰的到期日
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯金鑰管理的組織需求 | CMA_0123 - 定義密碼編譯金鑰管理的組織需求 | 手動、已停用 | 1.1.0 |
| 決定判斷提示需求 | CMA_0136 - 決定判斷提示需求 | 手動、已停用 | 1.1.0 |
| 發行公開金鑰憑證 | CMA_0347 - 發行公開金鑰憑證 | 手動、已停用 | 1.1.0 |
| Key Vault 金鑰應具有到期日 | 密碼編譯金鑰應具有已定義的到期日,而不是永久有效。 永久有效的金鑰會讓潛在攻擊者有更多的時間來危害金鑰。 建議的安全性做法是在密碼編譯金鑰上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
| 管理對稱式密碼編譯金鑰 | CMA_0367 - 管理對稱式密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 限制私密金鑰的存取 | CMA_0445 - 限制私密金鑰的存取 | 手動、已停用 | 1.1.0 |
確定已設定所有秘密的到期日
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 定義實體金鑰管理流程 | CMA_0115 - 定義實體金鑰管理流程 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯使用 | CMA_0120 - 定義密碼編譯使用 | 手動、已停用 | 1.1.0 |
| 定義密碼編譯金鑰管理的組織需求 | CMA_0123 - 定義密碼編譯金鑰管理的組織需求 | 手動、已停用 | 1.1.0 |
| 決定判斷提示需求 | CMA_0136 - 決定判斷提示需求 | 手動、已停用 | 1.1.0 |
| 發行公開金鑰憑證 | CMA_0347 - 發行公開金鑰憑證 | 手動、已停用 | 1.1.0 |
| Key Vault 祕密應設定到期日 | 祕密應具有已定義的到期日,而不是永久有效。 永久有效的祕密會讓潛在攻擊者有更多的時間來危害祕密。 建議的安全性做法是在祕密上設定到期日。 | Audit, Deny, Disabled | 1.0.2 |
| 管理對稱式密碼編譯金鑰 | CMA_0367 - 管理對稱式密碼編譯金鑰 | 手動、已停用 | 1.1.0 |
| 限制私密金鑰的存取 | CMA_0445 - 限制私密金鑰的存取 | 手動、已停用 | 1.1.0 |
請確認已設定任務關鍵性 Azure 資源的資源鎖定
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 建立並記錄變更控制流程 | CMA_0265 - 建立並記錄變更控制流程 | 手動、已停用 | 1.1.0 |
確定金鑰保存庫可復原
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| Azure Key Vault 受控 HSM 應啟用清除保護 | 惡意刪除 Azure Key Vault 受控 HSM 可能會導致永久的資料遺失。 您組織中可能有惡意的內部人員能夠刪除和清除 Azure Key Vault 受控 HSM。 清除保護可對虛刪除的 Azure Key Vault 受控 HSM 強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的 Azure Key Vault 受控 HSM。 | Audit, Deny, Disabled | 1.0.0 |
| 金鑰保存庫應啟用刪除保護 | 惡意刪除金鑰保存庫可能會導致永久的資料遺失。 您可以啟用清除保護和虛刪除來防止永久遺失資料。 清除保護可對虛刪除的金鑰保存庫強制執行必要的保留期間,以保護您免於遭受內部攻擊。 您的組織內部人員或 Microsoft 在虛刪除保留期間內都無法清除您的金鑰保存庫。 請記住,在 2019 年 9 月 1 日之後建立的金鑰保存庫預設會啟用虛刪除。 | Audit, Deny, Disabled | 2.1.0 |
| 維護資訊的可用性 | CMA_C1644 - 維護資訊的可用性 | 手動、已停用 | 1.1.0 |
在 Azure Kubernetes Services 中啟用角色型存取控制 (RBAC)
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 8.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 授權存取安全性功能和資訊 | CMA_0022 - 授權存取安全性功能和資訊 | 手動、已停用 | 1.1.0 |
| 授權及管理存取權 | CMA_0023 - 授權及管理存取權 | 手動、已停用 | 1.1.0 |
| 應在 Kubernetes Service 上使用 Azure 角色型存取控制 (RBAC) | 若要提供使用者可執行之動作的精細篩選,請使用 Azure 角色型存取控制 (RBAC) 來管理 Kubernetes Service 叢集中的權限,並設定相關的授權原則。 | Audit, Disabled | 1.0.3 |
| 強制執行邏輯存取 | CMA_0245 - 強制執行邏輯存取 | 手動、已停用 | 1.1.0 |
| 實施強制和判別存取控制原則 | CMA_0246 - 實施強制和判別存取控制原則 | 手動、已停用 | 1.1.0 |
| 需要核准建立帳戶 | CMA_0431 - 需要核准建立帳戶 | 手動、已停用 | 1.1.0 |
| 檢閱具有敏感性資料存取權的使用者群組和應用程式 | CMA_0481 - 檢閱具有敏感性資料存取權的使用者群組和應用程式 | 手動、已停用 | 1.1.0 |
9 AppService
確定已在 Azure App Service 上設定 App Service 驗證
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.1 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應啟用驗證 | Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達 Web 應用程式,也可以在擁有權杖的要求送達 Web 應用程式前予以驗證。 | AuditIfNotExists, Disabled | 2.0.1 |
| 驗證密碼編譯模組 | CMA_0021 - 驗證密碼編譯模組 | 手動、已停用 | 1.1.0 |
| 強制執行使用者唯一性 | CMA_0250 - 強制執行使用者唯一性 | 手動、已停用 | 1.1.0 |
| 函數應用程式應已啟用驗證 | Azure App Service 驗證這項功能可以防止匿名 HTTP 要求送達函數應用程式,也可以在擁有權杖的要求送達函數應用程式前予以驗證。 | AuditIfNotExists, Disabled | 3.0.0 |
| 支援由法律授權機構所核發的個人驗證認證 | CMA_0507 - 支援由法律授權機構所核發的個人驗證認證 | 手動、已停用 | 1.1.0 |
確定 'HTTP' 在用來執行 Web 應用程式時,版本是最新的
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.10 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
| 函數應用程式應使用最新的「HTTP 版本」 | HTTP 會定期發行較新的版本,以解決安全性缺陷或納入其他功能。 請使用適用於 Web 應用程式的最新 HTTP 版本,以利用較新版本的安全性修正 (如果有的話) 及 (或) 新功能。 | AuditIfNotExists, Disabled | 4.0.0 |
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
確定 Web 應用程式在 Azure App Service 中會將所有 HTTP 流量重新導向至 HTTPS
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.2 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 應該僅限透過 HTTPS 來存取 App Service 應用程式 | 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 | 稽核、停用、拒絕 | 4.0.0 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
確定 Web 應用程式使用最新版本的 TLS 加密
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.3 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對 App Service 應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
| 設定工作站以檢查數位憑證 | CMA_0073 - 設定工作站以檢查數位憑證 | 手動、已停用 | 1.1.0 |
| 函數應用程式應使用最新的 TLS 版本 | 基於安全性缺陷,TLS 會定期發行較新的版本,包含其他功能與加速。 針對函數應用程式升級至最新的 TLS 版本,以充分運用最新版本的安全性修正程式和/或新功能 (如果有的話)。 | AuditIfNotExists, Disabled | 2.0.1 |
| 使用加密保護傳輸中的資料 | CMA_0403 - 使用加密保護傳輸中的資料 | 手動、已停用 | 1.1.0 |
| 使用加密保護密碼 | CMA_0408 - 使用加密保護密碼 | 手動、已停用 | 1.1.0 |
確定 Web 應用程式已將 [用戶端憑證 (傳入用戶端憑證)] 設定為 [開啟]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.4 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [已取代]:函式應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則已由相同名稱的新原則取代,因為 HTTP 2.0 不支援用戶端憑證。 | Audit, Disabled | 3.1.0-deprecated |
| App Service 應用程式應啟用「用戶端憑證 (傳入用戶端憑證)」 | 用戶端憑證可讓應用程式針對連入要求來要求憑證。 只有具備有效憑證的用戶端才能存取該應用程式。 此原則適用於 Http 版本設定為 1.1 的應用程式。 | AuditIfNotExists, Disabled | 1.0.0 |
| 驗證密碼編譯模組 | CMA_0021 - 驗證密碼編譯模組 | 手動、已停用 | 1.1.0 |
確定已在 App Service 上啟用 [向 Azure Active Directory 註冊]
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.5 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| App Service 應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| 自動化帳戶管理 | CMA_0026 - 自動化帳戶管理 | 手動、已停用 | 1.1.0 |
| 函數應用程式應使用受控識別 | 使用受控識別來增強驗證安全性 | AuditIfNotExists, Disabled | 3.0.0 |
| 對系統和管理帳戶進行管理 | CMA_0368 - 對系統和管理帳戶進行管理 | 手動、已停用 | 1.1.0 |
| 監視整個組織的存取 | CMA_0376 - 監視整個組織的存取 | 手動、已停用 | 1.1.0 |
| 不需要帳戶時通知 | CMA_0383 - 不需要帳戶時通知 | 手動、已停用 | 1.1.0 |
確定 '.Net Framework' 在作為 Web 應用程式的一部分時,版本是最新的
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.6 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
確定 'PHP' 在用來執行 Web 應用程式時,版本是最新的
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.7 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
確定 'Python' 在用來執行 Web 應用程式時,版本是最新的
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.8 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
確定 'Java' 在用來執行 Web 應用程式時,版本是最新的
識別碼:CIS Microsoft Azure Foundations Benchmark 建議 9.9 所有權:共用
| 名稱 (Azure 入口網站) |
描述 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 補救資訊系統漏洞 | CMA_0427 - 補救資訊系統漏洞 | 手動、已停用 | 1.1.0 |
下一步
有關 Azure 原則的其他文章:
- 法規合規性概觀。
- 請參閱方案定義結構。
- 在 Azure 原則範例檢閱其他範例。
- 檢閱了解原則效果。
- 了解如何補救不符合規範的資源。