Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wymieniono wbudowane definicje zasad usługi Azure Policy związane z testem porównawczym zabezpieczeń w chmurze firmy Microsoft w wersji 2 (wersja zapoznawcza). Każda kontrolka z testu porównawczego jest mapowana na co najmniej jedną definicję usługi Azure Policy.
Zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad; Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności.
Skojarzenia między kontrolkami i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie.
AI-1: Zapewnianie użycia zatwierdzonych modeli
Aby uzyskać więcej informacji, zobacz Artificial Intelligence Security: AI-1: Ensure use of approved models (Zabezpieczenia sztucznej inteligencji: AI-1: Zapewnianie użycia zatwierdzonych modeli).
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| [Wersja zapoznawcza]: Wdrożenia usługi Azure Machine Learning powinny używać tylko zatwierdzonych modeli rejestru | Ograniczanie wdrażania modeli rejestru w celu kontrolowania modeli utworzonych zewnętrznie używanych w organizacji | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0-preview |
| [Wersja zapoznawcza]: Wdrożenia rejestru modeli usługi Azure Machine Learning są ograniczone z wyjątkiem dozwolonego rejestru | Wdróż tylko modele rejestru w dozwolonym rejestrze i które nie są ograniczone. | N/a | 1.0.0-preview |
AM-2: Używanie tylko zatwierdzonych usług
Aby uzyskać więcej informacji, zobacz Zarządzanie zasobami: AM-2: Używanie tylko zatwierdzonych usług.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Wersja platformy Azure API Management powinna być następująca: stv2 | Wersja platformy obliczeniowej stv1 usługi Azure API Management zostanie wycofana z dnia 31 sierpnia 2024 r., a te wystąpienia powinny zostać zmigrowane na platformę obliczeniową stv2 w celu zapewnienia dalszej obsługi. Dowiedz się więcej na temat wycofywania platformy stv1 usługi API Management — globalna chmura platformy Azure (sierpień 2024 r.) | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Konta magazynu należy migrować do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Konta magazynu należy migrować do nowych zasobów usługi Azure Resource Manager | Użyj nowego usługi Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie i zarządzanie oparte na usłudze Azure Resource Manager, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, uwierzytelnianie oparte na usłudze Azure AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
AM-3: Zapewnianie bezpieczeństwa zarządzania cyklem życia zasobów
Aby uzyskać więcej informacji, zobacz Zarządzanie zasobami: AM-3: Zapewnianie bezpieczeństwa zarządzania cyklem życia zasobów.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Nieużywane punkty końcowe interfejsu API powinny zostać wyłączone i usunięte z usługi Azure API Management | Najlepszym rozwiązaniem w zakresie zabezpieczeń punkty końcowe interfejsu API, które nie otrzymały ruchu przez 30 dni, są uznawane za nieużywane i powinny zostać usunięte z usługi Azure API Management. Utrzymywanie nieużywanych punktów końcowych interfejsu API może stanowić zagrożenie bezpieczeństwa dla organizacji. Mogą to być interfejsy API, które powinny być przestarzałe z usługi Azure API Management, ale mogły zostać przypadkowo pozostawione aktywne. Takie interfejsy API zwykle nie otrzymują najbardziej aktualnego pokrycia zabezpieczeń. | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
BR-1: Zapewnienie regularnych automatycznych kopii zapasowych
Aby uzyskać więcej informacji, zobacz Tworzenie kopii zapasowych i odzyskiwanie: BR-1: Zapewnianie regularnych automatycznych kopii zapasowych.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
| Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB | Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Audyt; Niepełnosprawny | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL | Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Audyt; Niepełnosprawny | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL | Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Audyt; Niepełnosprawny | 1.0.1 |
BR-2: Ochrona danych kopii zapasowych i odzyskiwania
Aby uzyskać więcej informacji, zobacz Backup and Recovery: BR-2: Protect backup and recovery data (Tworzenie kopii zapasowych i odzyskiwanie: BR-2: Ochrona danych kopii zapasowych i odzyskiwania).
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Usługa Azure Backup powinna być włączona dla maszyn wirtualnych | Zapewnij ochronę maszyn wirtualnych platformy Azure, włączając usługę Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla platformy Azure. | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
| Geograficznie nadmiarowa kopia zapasowa powinna być włączona dla usługi Azure Database for MariaDB | Usługa Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Audyt; Niepełnosprawny | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for MySQL | Usługa Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Audyt; Niepełnosprawny | 1.0.1 |
| Należy włączyć geograficznie nadmiarową kopię zapasową dla usługi Azure Database for PostgreSQL | Usługa Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Audyt; Niepełnosprawny | 1.0.1 |
| [Wersja zapoznawcza]: Dla magazynów usługi Recovery Services musi być włączona niezmienność | Te zasady sprawdzają, czy właściwość magazynów niezmiennych jest włączona dla magazynów usługi Recovery Services w zakresie. Pomaga to chronić dane kopii zapasowej przed usunięciem przed jej zamierzonym wygaśnięciem. Dowiedz się więcej na stronie Concept of Immutable vault for Azure Backup (Koncepcja niezmiennego magazynu dla usługi Azure Backup). | Audyt; Niepełnosprawny | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Dla magazynów kopii zapasowych musi być włączona niezmienność | Te zasady sprawdzają, czy właściwość magazynów niezmiennych jest włączona dla magazynów kopii zapasowych w zakresie. Pomaga to chronić dane kopii zapasowej przed usunięciem przed jej zamierzonym wygaśnięciem. Dowiedz się więcej na stronie Concept of Immutable vault for Azure Backup (Koncepcja niezmiennego magazynu dla usługi Azure Backup). | Audyt; Niepełnosprawny | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Usuwanie nietrwałe powinno być włączone dla magazynów kopii zapasowych | Te zasady sprawdzają, czy usuwanie nietrwałe jest włączone dla magazynów kopii zapasowych w zakresie. Usuwanie nietrwałe może pomóc w odzyskaniu danych po jego usunięciu. Dowiedz się więcej na stronie Omówienie rozszerzonego usuwania nietrwałego dla usługi Azure Backup | Audyt; Niepełnosprawny | 1.0.0-preview |
DP-1: Odnajdywanie poufnych danych
Aby uzyskać więcej informacji, zobacz Ochrona danych: DP-1: odnajdywanie poufnych danych.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Należy włączyć usługę Microsoft Defender dla interfejsów API | Usługa Microsoft Defender dla interfejsów API oferuje nowe funkcje odnajdywania, ochrony, wykrywania i reagowania w celu monitorowania typowych ataków opartych na interfejsie API i błędów konfiguracji zabezpieczeń. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
DP-2: Monitorowanie anomalii i zagrożeń skierowanych na poufne dane
Aby uzyskać więcej informacji, zobacz Ochrona danych: DP-2: Monitorowanie anomalii i zagrożeń przeznaczonych dla poufnych danych.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Usługa Azure Defender dla relacyjnych baz danych typu open source powinna być włączona | Usługa Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach usługi Azure Defender dla relacyjnych baz danych typu open source, zobacz Omówienie usługi Defender dla Open-Source relacyjnych baz danych. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: Cennik — Microsoft Defender for Cloud | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Należy włączyć usługę Microsoft Defender dla interfejsów API | Usługa Microsoft Defender dla interfejsów API oferuje nowe funkcje odnajdywania, ochrony, wykrywania i reagowania w celu monitorowania typowych ataków opartych na interfejsie API i błędów konfiguracji zabezpieczeń. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
DP-3: Szyfrowanie poufnych danych podczas przesyłania
Aby uzyskać więcej informacji, zobacz Ochrona danych: DP-3: Szyfrowanie poufnych danych podczas przesyłania.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Interfejsy API usługi API Management powinny używać tylko zaszyfrowanych protokołów | Aby zapewnić bezpieczeństwo przesyłanych danych, interfejsy API powinny być dostępne tylko za pośrednictwem szyfrowanych protokołów, takich jak HTTPS lub WSS. Unikaj używania niezabezpieczonych protokołów, takich jak HTTP lub WS. | Audyt; Niepełnosprawny; Zaprzeczać | 2.0.2 |
| Środowisko App Service Environment powinno być skonfigurowane przy użyciu najsilniejszych zestawów szyfrowania TLS | Dwa najbardziej minimalne i najsilniejsze zestawy szyfrowania wymagane do poprawnego działania środowiska App Service Environment to: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 i TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audyt; Niepełnosprawny | 1.0.0 |
| Środowisko App Service Environment powinno mieć wyłączone protokoły TLS 1.0 i 1.1 | Protokoły TLS 1.0 i 1.1 są nieaktualne, które nie obsługują nowoczesnych algorytmów kryptograficznych. Wyłączenie przychodzącego ruchu TLS 1.0 i 1.1 pomaga zabezpieczyć aplikacje w środowisku App Service Environment. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.1 |
| Środowisko App Service Environment powinno mieć włączone szyfrowanie wewnętrzne | Ustawienie InternalEncryption na 'true' powoduje szyfrowanie pliku stronicowania, dysków procesów roboczych oraz wewnętrznego ruchu sieciowego pomiędzy front-endami a procesami roboczymi w środowisku App Service Environment. Aby dowiedzieć się więcej, zapoznaj się z tematem Niestandardowe ustawienia konfiguracji dla środowisk App Service Environment. | Audyt; Niepełnosprawny | 1.0.1 |
| Sloty aplikacji usługi App Service powinny włączyć szyfrowanie typu end-to-end | Włączenie szyfrowania end-to-end gwarantuje, że ruch wewnątrz klastra między front-endami usługi App Service a procesami roboczymi, które obsługują obciążenia aplikacji, jest szyfrowany. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Miejsca aplikacji usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists; Niepełnosprawny | 1.2.0 |
| Aplikacje usługi App Service powinny włączyć kompleksowe szyfrowanie | Włączenie szyfrowania end-to-end gwarantuje, że ruch wewnątrz klastra między front-endami usługi App Service a procesami roboczymi, które obsługują obciążenia aplikacji, jest szyfrowany. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Audyt; Niepełnosprawny; Zaprzeczać | 4.0.0 |
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists; Niepełnosprawny | 2.2.0 |
| Pule usługi Azure Batch powinny mieć włączone szyfrowanie dysków | Włączenie szyfrowania dysków usługi Azure Batch gwarantuje, że dane są zawsze szyfrowane podczas magazynowania w węźle obliczeniowym usługi Azure Batch. Dowiedz się więcej na temat szyfrowania dysków w usłudze Batch na stronie Tworzenie puli z włączonym szyfrowaniem dysków. | Audyt; Niepełnosprawny; Zaprzeczać | 1.0.0 |
| Usługa Azure Front Door Standard i Premium powinna mieć minimalną wersję protokołu TLS w wersji 1.2 | Ustawienie minimalnej wersji protokołu TLS na 1.2 zwiększa bezpieczeństwo, zapewniając dostęp do domen niestandardowych od klientów przy użyciu protokołu TLS 1.2 lub nowszego. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ są słabe i nie obsługują nowoczesnych algorytmów kryptograficznych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Klastry usługi Azure HDInsight powinny używać szyfrowania podczas przesyłania do szyfrowania komunikacji między węzłami klastra usługi Azure HDInsight | Dane można manipulować podczas transmisji między węzłami klastra usługi Azure HDInsight. Włączenie szyfrowania podczas przesyłania rozwiązuje problemy z nieprawidłowym użyciem i manipulowaniem podczas tej transmisji. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa Azure SQL Database powinna mieć uruchomiony protokół TLS w wersji 1.2 lub nowszej | Ustawienie protokołu TLS w wersji 1.2 lub nowszej zwiększa bezpieczeństwo, zapewniając, że usługa Azure SQL Database może być dostępna tylko od klientów przy użyciu protokołu TLS 1.2 lub nowszego. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ mają dobrze udokumentowane luki w zabezpieczeniach. | Audyt; Niepełnosprawny; Zaprzeczać | 2.0.0 |
| Punkt końcowy usługi Bot Service powinien być prawidłowym identyfikatorem URI HTTPS | Dane można manipulować podczas transmisji. Istnieją protokoły, które zapewniają szyfrowanie w celu rozwiązania problemów z nieprawidłowym użyciem i manipulowaniem. Aby upewnić się, że boty komunikują się tylko za pośrednictwem zaszyfrowanych kanałów, ustaw punkt końcowy na prawidłowy identyfikator URI HTTPS. Dzięki temu protokół HTTPS jest używany do szyfrowania danych przesyłanych i często jest wymagany do zapewnienia zgodności ze standardami prawnymi lub branżowymi. Odwiedź stronę: Wskazówki dotyczące zabezpieczeń platformy Bot Framework. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 1.1.0 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL | Usługa Azure Database for MySQL obsługuje łączenie serwera usługi Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Audyt; Niepełnosprawny | 1.0.1 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Usługa Azure Database for PostgreSQL obsługuje łączenie serwera usługi Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Audyt; Niepełnosprawny | 1.0.1 |
| Sloty aplikacji funkcji powinny włączyć szyfrowanie od końca do końca | Włączenie szyfrowania end-to-end gwarantuje, że ruch wewnątrz klastra między front-endami usługi App Service a procesami roboczymi, które obsługują obciążenia aplikacji, jest szyfrowany. | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.0 |
| Miejsca aplikacji funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Zaktualizuj do najnowszej wersji protokołu TLS dla aplikacji Function, aby skorzystać z poprawek zabezpieczeń, jeśli takie istnieją, oraz/lub nowych funkcjonalności najnowszej wersji. | AuditIfNotExists; Niepełnosprawny | 1.3.0 |
| Aplikacje funkcji powinny włączyć kompleksowe szyfrowanie | Włączenie szyfrowania end-to-end gwarantuje, że ruch wewnątrz klastra między front-endami usługi App Service a procesami roboczymi, które obsługują obciążenia aplikacji, jest szyfrowany. | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.0 |
| Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Audyt; Niepełnosprawny; Zaprzeczać | 5.1.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AuditIfNotExists; Niepełnosprawny | 3.1.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Zaktualizuj do najnowszej wersji protokołu TLS dla aplikacji Function, aby skorzystać z poprawek zabezpieczeń, jeśli takie istnieją, oraz/lub nowych funkcjonalności najnowszej wersji. | AuditIfNotExists; Niepełnosprawny | 2.3.0 |
| Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną usługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę Omówienie usługi Azure Policy dla klastrów Kubernetes | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 8.2.0 |
| Należy włączyć tylko bezpieczne połączenia z usługą Azure Cache for Redis | Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do usługi Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Serwery elastyczne PostgreSQL powinny mieć uruchomiony protokół TLS w wersji 1.2 lub nowszej | Te zasady ułatwiają inspekcję serwerów elastycznych PostgreSQL w środowisku, które są uruchomione z protokołem TLS w wersji mniejszej niż 1.2. | AuditIfNotExists; Niepełnosprawny | 1.1.0 |
| Wystąpienie zarządzane SQL powinno mieć minimalną wersję protokołu TLS 1.2 | Ustawienie minimalnej wersji protokołu TLS na 1.2 zwiększa bezpieczeństwo, zapewniając dostęp do usługi SQL Managed Instance tylko od klientów przy użyciu protokołu TLS 1.2. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ mają dobrze udokumentowane luki w zabezpieczeniach. | Audyt; Niepełnosprawny | 1.0.1 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.0 |
| Konta pamięci masowej powinny mieć określoną minimalną wersję protokołu TLS | Skonfiguruj minimalną wersję protokołu TLS na potrzeby bezpiecznej komunikacji między aplikacją kliencką a kontem magazynu. Aby zminimalizować ryzyko bezpieczeństwa, zalecana minimalna wersja protokołu TLS to najnowsza wersja, która jest obecnie protokołem TLS 1.2. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Maszyny z systemem Windows należy skonfigurować do używania bezpiecznych protokołów komunikacyjnych | Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. | AuditIfNotExists; Niepełnosprawny | 4.1.1 |
| [Wersja zapoznawcza]: Sieć hostów i maszyn wirtualnych powinna być chroniona w systemach Azure Stack HCI | Ochrona danych w sieci hostów usługi Azure Stack HCI i połączeń sieciowych maszyn wirtualnych. | Audyt; Niepełnosprawny; AuditIfNotExists | 1.0.0-preview |
DP-4: Domyślnie włącz szyfrowanie danych magazynowanych
Aby uzyskać więcej informacji, zobacz Ochrona danych: DP-4: Włączanie szyfrowania danych magazynowanych domyślnie.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Administrator firmy Microsoft Entra powinien być aprowizowany dla serwerów MySQL | Przeprowadź inspekcję aprowizacji administratora usługi Microsoft Entra dla serwera MySQL, aby włączyć uwierzytelnianie firmy Microsoft Entra. Uwierzytelnianie firmy Microsoft Entra umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists; Niepełnosprawny | 1.1.1 |
| Zmienne konta usługi Automation powinny być szyfrowane | Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.0 |
| Zadania usługi Azure Data Box powinny włączyć podwójne szyfrowanie danych magazynowanych na urządzeniu | Włącz drugą warstwę szyfrowania opartego na oprogramowaniu dla danych magazynowanych na urządzeniu. Urządzenie jest już chronione za pomocą szyfrowania Advanced Encryption Standard 256-bitowego dla danych magazynowanych. Ta opcja dodaje drugą warstwę szyfrowania danych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Urządzenia azure Edge Hardware Center powinny mieć włączoną obsługę podwójnego szyfrowania | Upewnij się, że urządzenia uporządkowane w usłudze Azure Edge Hardware Center mają włączoną obsługę podwójnego szyfrowania, aby zabezpieczyć dane magazynowane na urządzeniu. Ta opcja dodaje drugą warstwę szyfrowania danych. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.0 |
| Klastry usługi Azure HDInsight powinny używać szyfrowania na hoście do szyfrowania danych magazynowanych | Włączenie szyfrowania na hoście pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu szyfrowania na hoście, dane przechowywane na hoście maszyny wirtualnej są szyfrowane w spoczynku i przepływają szyfrowane do usługi przechowywania. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Klastry dzienników usługi Azure Monitor powinny być tworzone z włączonym szyfrowaniem infrastruktury (podwójne szyfrowanie) | Aby zapewnić włączenie bezpiecznego szyfrowania danych na poziomie usługi i poziomu infrastruktury z dwoma różnymi algorytmami szyfrowania i dwoma różnymi kluczami, należy użyć dedykowanego klastra usługi Azure Monitor. Ta opcja jest domyślnie włączona, gdy jest obsługiwana w regionie, zobacz Klucze zarządzane przez klienta usługi Azure Monitor. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 1.1.0 |
| Serwer elastyczny usługi Azure MySQL powinien mieć włączone uwierzytelnianie tylko w usłudze Microsoft Entra | Wyłączenie lokalnych metod uwierzytelniania i zezwolenie tylko na uwierzytelnianie Entra firmy Microsoft zwiększa bezpieczeństwo, zapewniając, że elastyczny serwer Azure MySQL może być dostępny wyłącznie przez tożsamości firmy Microsoft Entra. | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
| Woluminy SMB usługi Azure NetApp Files powinny używać szyfrowania SMB3 | Nie zezwalaj na tworzenie woluminów SMB bez szyfrowania SMB3 w celu zapewnienia integralności danych i prywatności danych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Woluminy usługi Azure NetApp Files typu NFSv4.1 powinny używać szyfrowania danych Kerberos | Zezwalaj tylko na korzystanie z trybu zabezpieczeń protokołu Kerberos (5p) w celu zapewnienia szyfrowania danych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Urządzenia usługi Azure Stack Edge powinny używać podwójnego szyfrowania | Aby zabezpieczyć dane magazynowane na urządzeniu, upewnij się, że są dwukrotnie szyfrowane, dostęp do danych jest kontrolowany, a po dezaktywowaniu urządzenia dane są bezpiecznie usuwane z dysków danych. Podwójne szyfrowanie to użycie dwóch warstw szyfrowania: funkcja BitLocker XTS-AES 256-bitowego szyfrowania na woluminach danych i wbudowane szyfrowanie dysków twardych. Dowiedz się więcej w dokumentacji przeglądu zabezpieczeń dla określonego urządzenia Stack Edge. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 1.1.0 |
| Szyfrowanie dysków powinno być włączone w usłudze Azure Data Explorer | Włączenie szyfrowania dysków pomaga chronić i chronić dane w celu spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.0 |
| Podwójne szyfrowanie powinno być włączone w usłudze Azure Data Explorer | Włączenie podwójnego szyfrowania pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu podwójnego szyfrowania dane na koncie magazynu są szyfrowane dwa razy, raz na poziomie usługi i raz na poziomie infrastruktury przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny mieć włączone podwójne szyfrowanie | Włączenie podwójnego szyfrowania pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu podwójnego szyfrowania dane na koncie magazynu są szyfrowane dwa razy, raz na poziomie usługi i raz na poziomie infrastruktury przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for MySQL | Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for MySQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych przez firmę Microsoft ze standardem FIPS 140-2. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Szyfrowanie infrastruktury powinno być włączone dla serwerów usługi Azure Database for PostgreSQL | Włącz szyfrowanie infrastruktury dla serwerów usługi Azure Database for PostgreSQL, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane magazynowane są szyfrowane dwa razy przy użyciu zgodnych kluczy zarządzanych firmy Microsoft ze standardem FIPS 140-2 | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Maszyny wirtualne z systemem Linux powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost. | Mimo że dyski systemu operacyjnego i danych maszyny wirtualnej są domyślnie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski zasobów (dyski tymczasowe), pamięci podręczne danych i dane przepływające między zasobami obliczeniowymi i magazynowymi nie są szyfrowane. Korygowanie przy użyciu usługi Azure Disk Encryption lub EncryptionAtHost. Odwiedź stronę Omówienie opcji szyfrowania dysków zarządzanych, aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę Omówienie konfiguracji maszyny platformy Azure. | AuditIfNotExists; Niepełnosprawny | 1.2.1 |
| Dyski zarządzane powinny być dwukrotnie szyfrowane przy użyciu kluczy zarządzanych przez platformę i zarządzanych przez klienta | Klienci z wysokim poziomem zabezpieczeń, którzy są zaniepokojeni ryzykiem związanym z konkretnym algorytmem szyfrowania, implementacją lub kluczem, mogą zdecydować się na dodatkową warstwę szyfrowania przy użyciu innego algorytmu/trybu szyfrowania w warstwie infrastruktury przy użyciu kluczy szyfrowania zarządzanych przez platformę. Zestawy szyfrowania dysków są wymagane do używania podwójnego szyfrowania. Dowiedz się więcej na temat szyfrowania po stronie serwera dysków zarządzanych platformy Azure. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Przestrzenie nazw usługi Service Bus powinny mieć włączone podwójne szyfrowanie | Włączenie podwójnego szyfrowania pomaga chronić i chronić dane w celu spełnienia wymagań organizacji w zakresie zabezpieczeń i zgodności. Po włączeniu podwójnego szyfrowania dane na koncie magazynu są szyfrowane dwa razy, raz na poziomie usługi i raz na poziomie infrastruktury przy użyciu dwóch różnych algorytmów szyfrowania i dwóch różnych kluczy. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Klastry usługi Service Fabric powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign | Usługa Service Fabric zapewnia trzy poziomy ochrony (None, Sign and EncryptAndSign) na potrzeby komunikacji między węzłami przy użyciu certyfikatu podstawowego klastra. Ustaw poziom ochrony, aby upewnić się, że wszystkie komunikaty typu node-to-node są szyfrowane i podpisane cyfrowo | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.0 |
| Konta magazynowe powinny mieć szyfrowanie infrastruktury | Włącz szyfrowanie infrastruktury, aby zapewnić wyższy poziom bezpieczeństwa danych. Po włączeniu szyfrowania infrastruktury dane na koncie magazynu są szyfrowane dwa razy. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Dyski tymczasowe i pamięć podręczna dla pul węzłów agenta w klastrach usługi Azure Kubernetes Service powinny być szyfrowane na hoście | Aby zwiększyć bezpieczeństwo danych, dane przechowywane na hoście maszyny wirtualnej (VM) maszyn wirtualnych węzłów usługi Azure Kubernetes Service powinny być szyfrowane w spoczynku. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Funkcja Transparent Data Encryption musi być włączona dla wystąpień zarządzanych usługi Arc SQL. | Włącz funkcję Transparent Data Encryption (TDE) magazynowanych w wystąpieniu zarządzanym SQL z obsługą usługi Azure Arc. Dowiedz się więcej na stronie Szyfrowanie bazy danych za pomocą funkcji transparent data encryption ręcznie w usłudze SQL Managed Instance włączonej przez usługę Azure Arc. | Audyt; Niepełnosprawny | 1.0.0 |
| Należy włączyć funkcję Transparent Data Encryption w bazach danych SQL | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AuditIfNotExists; Niepełnosprawny | 2.0.0 |
| Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście | Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej na stronie Włączanie kompleksowego szyfrowania przy użyciu szyfrowania na hoście. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Maszyny wirtualne z systemem Windows powinny włączyć usługę Azure Disk Encryption lub EncryptionAtHost. | Mimo że dyski systemu operacyjnego i danych maszyny wirtualnej są domyślnie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski zasobów (dyski tymczasowe), pamięci podręczne danych i dane przepływające między zasobami obliczeniowymi i magazynowymi nie są szyfrowane. Korygowanie przy użyciu usługi Azure Disk Encryption lub EncryptionAtHost. Odwiedź stronę Omówienie opcji szyfrowania dysków zarządzanych, aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę Omówienie konfiguracji maszyny platformy Azure. | AuditIfNotExists; Niepełnosprawny | 1.1.1 |
DP-5: Użyj opcji klucza zarządzanego przez klienta podczas szyfrowania danych w stanie spoczynku, jeśli jest to wymagane
Aby uzyskać więcej informacji, zobacz Data Protection: DP-5: Use customer-managed key option in data at rest encryption when required (Ochrona danych: DP-5: używanie opcji klucza zarządzanego przez klienta w przypadku szyfrowania magazynowanych w razie potrzeby).
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Zasoby usług Azure AI Services powinny szyfrować dane magazynowane przy użyciu klucza zarządzanego przez klienta (CMK) | Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta zapewnia większą kontrolę nad cyklem życia klucza, w tym rotacją i zarządzaniem. Jest to szczególnie istotne dla organizacji z powiązanymi wymaganiami dotyczącymi zgodności. Nie jest to domyślnie oceniane i powinno być stosowane tylko wtedy, gdy są wymagane przez wymagania dotyczące zgodności lub restrykcyjnych zasad. Jeśli nie zostanie włączona, dane będą szyfrowane przy użyciu kluczy zarządzanych przez platformę. Aby to zaimplementować, zaktualizuj parametr "Effect" w zasadach zabezpieczeń dla odpowiedniego zakresu. | Audyt; Zaprzeczać; Niepełnosprawny | 2.2.0 |
| Interfejs API platformy Azure dla standardu FHIR powinien używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych | Użyj klucza zarządzanego przez klienta, aby kontrolować szyfrowanie danych przechowywanych w usłudze Azure API for FHIR, gdy jest to wymaganie dotyczące przepisów lub zgodności. Klucze zarządzane przez klienta zapewniają również podwójne szyfrowanie, dodając drugą warstwę szyfrowania na podstawie domyślnego klucza zarządzanego przez usługę. | audyt; Audyt; niepełnosprawny; Niepełnosprawny | 1.1.0 |
| Konta usługi Azure Automation powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku kont usługi Azure Automation. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. Dowiedz się więcej na temat szyfrowania bezpiecznych zasobów w usłudze Azure Automation. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Konto usługi Azure Batch powinno używać kluczy zarządzanych przez klienta do szyfrowania danych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych danych konta usługi Batch. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. Dowiedz się więcej na stronie Szyfrowanie danych konta usługi Batch. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Usługa Azure Cache for Redis Enterprise powinna używać kluczy zarządzanych przez klienta do szyfrowania danych dysku | Użyj kluczy zarządzanych przez klienta (CMK), aby zarządzać szyfrowaniem magazynowanych danych na dysku. Domyślnie dane klientów są szyfrowane przy użyciu kluczy zarządzanych przez platformę (PMK), ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. Dowiedz się więcej na stronie Konfigurowanie szyfrowania dysków w usłudze Azure Cache for Redis. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Grupa kontenerów usługi Azure Container Instance powinna używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie kontenerów dzięki większej elastyczności przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Audyt; Niepełnosprawny; Zaprzeczać | 1.0.0 |
| Konta usługi Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi Azure Cosmos DB. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. Dowiedz się więcej w temacie Configure Customer-Managed Keys (Konfigurowanie kluczy Customer-Managed). | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 1.1.0 |
| Zadania usługi Azure Data Box powinny używać klucza zarządzanego przez klienta do szyfrowania hasła odblokowywania urządzenia | Użyj klucza zarządzanego przez klienta, aby kontrolować szyfrowanie hasła odblokowywania urządzenia dla urządzenia Azure Data Box. Klucze zarządzane przez klienta ułatwiają również zarządzanie dostępem do hasła odblokowywania urządzenia przez usługę Data Box, aby przygotować urządzenie i skopiować dane w zautomatyzowany sposób. Dane na samym urządzeniu są już szyfrowane w spoczynku przy użyciu szyfrowania Advanced Encryption Standard 256-bitowego, a hasło odblokowywania urządzenia jest domyślnie szyfrowane przy użyciu klucza zarządzanego przez firmę Microsoft. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Szyfrowanie magazynowane w usłudze Azure Data Explorer powinno używać klucza zarządzanego przez klienta | Włączenie szyfrowania magazynowanych przy użyciu klucza zarządzanego przez klienta w klastrze usługi Azure Data Explorer zapewnia dodatkową kontrolę nad kluczem używanym przez szyfrowanie magazynowane. Ta funkcja jest często stosowana do klientów z specjalnymi wymaganiami dotyczącymi zgodności i wymaga usługi Key Vault do zarządzania kluczami. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Obszary robocze usługi Azure Databricks powinny być jednostkami SKU w warstwie Premium, która obsługuje funkcje, takie jak link prywatny, klucz zarządzany przez klienta na potrzeby szyfrowania | Zezwalaj tylko na obszar roboczy usługi Databricks z jednostkami SKU w warstwie Premium, którą organizacja może wdrożyć w celu obsługi funkcji, takich jak Usługa Private Link, klucz zarządzany przez klienta na potrzeby szyfrowania. Dowiedz się więcej na stronie: Konfigurowanie łączności prywatnej zaplecza z usługą Azure Databricks. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Konta usługi Azure Device Update powinny używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych | Szyfrowanie danych magazynowanych w usłudze Azure Device Update przy użyciu klucza zarządzanego przez klienta dodaje drugą warstwę szyfrowania na podstawie domyślnych kluczy zarządzanych przez usługę, umożliwia kontrolę klienta nad kluczami, niestandardowe zasady rotacji i możliwość zarządzania dostępem do danych za pośrednictwem kontroli dostępu klucza. Dowiedz się więcej na stronie: Szyfrowanie danych dla usługi Device Update dla usługi IoT Hub. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Klastry usługi Azure HDInsight powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych klastrów usługi Azure HDInsight. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. Dowiedz się więcej na temat podwójnego szyfrowania danych magazynowanych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Boty usługi Azure Health powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta (CMK), aby zarządzać szyfrowaniem w spoczynku danych swoich botów kondycji. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucz CMK jest często wymagany do spełnienia standardów zgodności z przepisami. Klucz cmK umożliwia szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. Dowiedz się więcej w temacie Configure Customer Managed Keys for data encryption in healthcare agent service (Konfigurowanie kluczy zarządzanych przez klienta na potrzeby szyfrowania danych w usłudze agenta opieki zdrowotnej) | Audyt; Niepełnosprawny | 1.0.0 |
| Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Zarządzanie szyfrowaniem magazynowanych danych obszaru roboczego usługi Azure Machine Learning przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. Dowiedz się więcej na stronie Tworzenie obszaru roboczego przy użyciu szablonu usługi Azure Resource Manager. | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.0 |
| Obszary robocze usługi Azure Machine Learning powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Zarządzanie szyfrowaniem magazynowanych danych obszaru roboczego usługi Azure Machine Learning przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. Dowiedz się więcej na stronie Tworzenie obszaru roboczego przy użyciu szablonu usługi Azure Resource Manager. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Klastry dzienników usługi Azure Monitor powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Tworzenie klastra dzienników usługi Azure Monitor przy użyciu szyfrowania kluczy zarządzanych przez klienta. Domyślnie dane dziennika są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia wymagań zgodności z przepisami. Klucz zarządzany przez klienta w usłudze Azure Monitor zapewnia większą kontrolę nad dostępem do danych. Zobacz Konfigurowanie kluczy zarządzanych przez klienta w usłudze Azure Monitor. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 1.1.0 |
| Zadania usługi Azure Stream Analytics powinny używać kluczy zarządzanych przez klienta do szyfrowania danych | Użyj kluczy zarządzanych przez klienta, aby bezpiecznie przechowywać wszelkie metadane i prywatne zasoby danych zadań usługi Stream Analytics na koncie magazynu. Zapewnia to całkowitą kontrolę nad sposobem szyfrowania danych usługi Stream Analytics. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 1.1.0 |
| Obszary robocze usługi Azure Synapse powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby kontrolować szyfrowanie danych przechowywanych w obszarach roboczych usługi Azure Synapse. Klucze zarządzane przez klienta zapewniają podwójne szyfrowanie przez dodanie drugiej warstwy szyfrowania na podstawie domyślnego szyfrowania za pomocą kluczy zarządzanych przez usługę. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Fabryki danych platformy Azure powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku usługi Azure Data Factory. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. Dowiedz się więcej na stronie Szyfrowanie usługi Azure Data Factory przy użyciu klucza zarządzanego przez klienta. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Zasób testowania obciążenia platformy Azure powinien używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta (CMK), aby zarządzać szyfrowaniem magazynowanych dla zasobu usługi Azure Load Testing. Domyślnie szyfrowanie odbywa się przy użyciu kluczy zarządzanych przez usługę, klucze zarządzane przez klienta umożliwiają szyfrowanie danych za pomocą klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. Dowiedz się więcej w temacie Configure customer-managed keys for Azure Load Testing with Azure Key Vault (Konfigurowanie kluczy zarządzanych przez klienta na potrzeby testowania obciążenia platformy Azure za pomocą usługi Azure Key Vault). | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa Bot Service powinna być szyfrowana przy użyciu klucza zarządzanego przez klienta | Usługa Azure Bot Service automatycznie szyfruje zasób w celu ochrony danych i spełnienia zobowiązań organizacji w zakresie zabezpieczeń i zgodności. Domyślnie używane są klucze szyfrowania zarządzane przez firmę Microsoft. Aby uzyskać większą elastyczność zarządzania kluczami lub kontrolowania dostępu do subskrypcji, wybierz klucze zarządzane przez klienta, znane również jako bring your own key (BYOK). Dowiedz się więcej na temat szyfrowania usługi Azure Bot Service: szyfrowanie usługi Azure AI Bot Service dla danych magazynowanych. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 1.1.0 |
| Zarówno systemy operacyjne, jak i dyski danych w klastrach usługi Azure Kubernetes Service powinny być szyfrowane za pomocą kluczy zarządzanych przez klienta | Szyfrowanie dysków systemu operacyjnego i danych przy użyciu kluczy zarządzanych przez klienta zapewnia większą kontrolę i większą elastyczność zarządzania kluczami. Jest to typowe wymaganie w wielu standardach zgodności z przepisami i branży. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości rejestrów. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. Dowiedz się więcej na temat kluczyCustomer-Managed dla usługi Azure Container Registry. | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.2 |
| Szyfrowanie kluczy zarządzanych przez klienta musi być używane jako część szyfrowania CMK dla wystąpień zarządzanych usługi Arc SQL. | W ramach szyfrowania cmK należy użyć szyfrowania kluczy zarządzanych przez klienta. Dowiedz się więcej na stronie Szyfrowanie bazy danych za pomocą funkcji transparent data encryption ręcznie w usłudze SQL Managed Instance włączonej przez usługę Azure Arc. | Audyt; Niepełnosprawny | 1.0.0 |
| Usługa DICOM powinna używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych | Użyj klucza zarządzanego przez klienta, aby kontrolować szyfrowanie danych przechowywanych w usłudze DICOM usług Azure Health Data Services, gdy jest to wymaganie prawne lub zgodności. Klucze zarządzane przez klienta zapewniają również podwójne szyfrowanie, dodając drugą warstwę szyfrowania na podstawie domyślnego klucza zarządzanego przez usługę. | Audyt; Niepełnosprawny | 1.0.0 |
| ElasticSan Volume Group powinna używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku grupy woluminów. Domyślnie dane klientów są szyfrowane przy użyciu kluczy zarządzanych przez platformę, ale do spełnienia standardów zgodności z przepisami często wymagane są klucze zarządzania. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie, z pełną kontrolą i odpowiedzialnością, w tym rotacją i zarządzaniem. | Audyt; Niepełnosprawny | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać klucza zarządzanego przez klienta do szyfrowania | Usługa Azure Event Hubs obsługuje opcję szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft (ustawienie domyślne) lub kluczy zarządzanych przez klienta. Wybranie opcji szyfrowania danych przy użyciu kluczy zarządzanych przez klienta umożliwia przypisywanie, obracanie, wyłączanie i odwoływanie dostępu do kluczy używanych przez usługę Event Hub do szyfrowania danych w przestrzeni nazw. Należy pamiętać, że usługa Event Hub obsługuje szyfrowanie tylko przy użyciu kluczy zarządzanych przez klienta dla przestrzeni nazw w dedykowanych klastrach. | Audyt; Niepełnosprawny | 1.0.0 |
| Usługa FHIR powinna używać klucza zarządzanego przez klienta do szyfrowania danych magazynowanych | Użyj klucza zarządzanego przez klienta, aby kontrolować szyfrowanie danych przechowywanych w usłudze FHIR w usłudze Azure Health Data Services, gdy jest to wymaganie dotyczące zgodności lub przepisów. Klucze zarządzane przez klienta zapewniają również podwójne szyfrowanie, dodając drugą warstwę szyfrowania na podstawie domyślnego klucza zarządzanego przez usługę. | Audyt; Niepełnosprawny | 1.0.0 |
| Usługa Fluid Relay powinna używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku serwera Fluid Relay. Domyślnie dane klientów są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale do spełnienia standardów zgodności z przepisami często wymagane są klucze zarządzania usługami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie, z pełną kontrolą i odpowiedzialnością, w tym rotacją i zarządzaniem. Dowiedz się więcej w temacie Klucze zarządzane przez klienta na potrzeby szyfrowania usługi Azure Fluid Relay. | Audyt; Niepełnosprawny | 1.0.0 |
| Konta usługi HPC Cache powinny używać klucza zarządzanego przez klienta do szyfrowania | Zarządzanie szyfrowaniem w spoczynku usługi Azure HPC Cache przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. | Audyt; Niepełnosprawny; Zaprzeczać | 2.0.0 |
| Środowisko usługi integracji usługi Logic Apps powinno być szyfrowane przy użyciu kluczy zarządzanych przez klienta | Wdróż w środowisku usługi integracji, aby zarządzać szyfrowaniem w spoczynku danych usługi Logic Apps przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Dyski zarządzane powinny być dwukrotnie szyfrowane przy użyciu kluczy zarządzanych przez platformę i zarządzanych przez klienta | Klienci z wysokim poziomem zabezpieczeń, którzy są zaniepokojeni ryzykiem związanym z konkretnym algorytmem szyfrowania, implementacją lub kluczem, mogą zdecydować się na dodatkową warstwę szyfrowania przy użyciu innego algorytmu/trybu szyfrowania w warstwie infrastruktury przy użyciu kluczy szyfrowania zarządzanych przez platformę. Zestawy szyfrowania dysków są wymagane do używania podwójnego szyfrowania. Dowiedz się więcej na temat szyfrowania po stronie serwera dysków zarządzanych platformy Azure. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Dyski zarządzane powinny używać określonego zestawu zestawów szyfrowania dysków na potrzeby szyfrowania kluczy zarządzanych przez klienta | Wymaganie użycia określonego zestawu zestawów szyfrowania dysków z dyskami zarządzanymi zapewnia kontrolę nad kluczami używanymi do szyfrowania magazynowanych. Możesz wybrać dozwolone zestawy zaszyfrowane, a wszystkie inne zostaną odrzucone po dołączeniu do dysku. Dowiedz się więcej na temat szyfrowania po stronie serwera dysków zarządzanych platformy Azure. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.0 |
| Serwery MySQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów MySQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. | AuditIfNotExists; Niepełnosprawny | 1.0.4 |
| Dyski systemu operacyjnego i danych powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości dysków zarządzanych. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. Dowiedz się więcej na temat szyfrowania po stronie serwera dysków zarządzanych platformy Azure. | Audyt; Zaprzeczać; Niepełnosprawny | 3.0.0 |
| Serwery elastyczne PostgreSQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów elastycznych PostgreSQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.0 |
| Serwery PostgreSQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów PostgreSQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza usługi Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. | AuditIfNotExists; Niepełnosprawny | 1.0.4 |
| Usługa Queue Storage powinna używać klucza zarządzanego przez klienta do szyfrowania | Zabezpiecz magazyn kolejek przy użyciu większej elastyczności przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Implementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższeniu poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.0 |
| Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Zaimplementowanie funkcji Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększone bezpieczeństwo dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.1 |
| Przestrzenie nazw usługi Service Bus Premium powinny używać klucza zarządzanego przez klienta do szyfrowania | Usługa Azure Service Bus obsługuje opcję szyfrowania danych magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft (ustawienie domyślne) lub kluczy zarządzanych przez klienta. Wybranie opcji szyfrowania danych przy użyciu kluczy zarządzanych przez klienta umożliwia przypisywanie, obracanie, wyłączanie i odwoływanie dostępu do kluczy używanych przez usługę Service Bus do szyfrowania danych w przestrzeni nazw. Należy pamiętać, że usługa Service Bus obsługuje tylko szyfrowanie przy użyciu kluczy zarządzanych przez klienta dla przestrzeni nazw w warstwie Premium. | Audyt; Niepełnosprawny | 1.0.0 |
| Zakresy szyfrowania konta magazynu powinny używać kluczy zarządzanych przez klienta do szyfrowania danych w stanie spoczynku | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałych zakresach szyfrowania konta magazynu. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych przy użyciu klucza magazynu kluczy platformy Azure utworzonego i należącego do Ciebie. Masz pełną kontrolę nad cyklem życia klucza i ponosisz za niego odpowiedzialność, w tym za jego rotację i zarządzanie. Dowiedz się więcej na temat zakresów szyfrowania konta magazynu w zakresach szyfrowania dla usługi Blob Storage. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Zakresy szyfrowania dla kont przechowywania powinny używać podwójnego szyfrowania dla danych w spoczynku | Włącz szyfrowanie infrastruktury na potrzeby szyfrowania magazynowanych zakresów szyfrowania konta magazynu w celu zwiększenia bezpieczeństwa. Szyfrowanie infrastruktury gwarantuje, że dane są szyfrowane dwa razy. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Konta magazynowe powinny używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Audyt; Niepełnosprawny | 1.0.3 |
| Usługa Table Storage powinna używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie magazynu tabel przy użyciu większej elastyczności przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| [Przestarzałe]: Grupa SIM powinna używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Te zasady są przestarzałe, ponieważ dostawca zasobów Microsoft.MobileNetwork został zlikwidowany bez zamiany. Zalecamy usunięcie wszystkich przypisań tych zasad i wszystkich odwołań do niej z inicjatyw. Dowiedz się więcej o wycofaniu definicji zasad na stronie aka.ms/policydefdeprecation. | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.0 przestarzałe |
| [Wersja zapoznawcza]: systemy Azure Stack HCI powinny mieć zaszyfrowane woluminy | Funkcja BitLocker umożliwia szyfrowanie woluminów systemu operacyjnego i danych w systemach Azure Stack HCI. | Audyt; Niepełnosprawny; AuditIfNotExists | 1.0.0-preview |
DP-6: Używanie bezpiecznego procesu zarządzania kluczami
Aby uzyskać więcej informacji, zobacz Data Protection: DP-6: Use a secure key management process (Ochrona danych: DP-6: używanie bezpiecznego procesu zarządzania kluczami).
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Tajne wartości w usłudze API Management powinny być przechowywane w Azure Key Vault | Nazwane wartości to kolekcja par nazw i wartości w każdej usłudze API Management. Wartości wpisów tajnych mogą być przechowywane jako zaszyfrowany tekst w usłudze API Management (niestandardowe wpisy tajne) lub przez odwołanie się do wpisów tajnych w usłudze Azure Key Vault. Aby zwiększyć bezpieczeństwo usługi API Management i wpisów tajnych, odwołaj się do wpisów tajnych nazwanych wartości z usługi Azure Key Vault. Usługa Azure Key Vault obsługuje szczegółowe zarządzanie dostępem i zasady rotacji wpisów tajnych. | Audyt; Niepełnosprawny; Zaprzeczać | 1.0.2 |
| Konta usługi Azure Cosmos DB nie powinny przekraczać maksymalnej liczby dni dozwolonych od czasu ostatniego ponownego odnowienia klucza konta. | Wygeneruj ponownie klucze w określonym czasie, aby zapewnić większą ochronę danych. | Audyt; Niepełnosprawny | 1.0.0 |
| Klucze usługi Key Vault powinny mieć datę wygaśnięcia | Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.2 |
| Wpisy tajne usługi Key Vault powinny mieć datę wygaśnięcia | Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.2 |
| Klucze powinny mieć zasady rotacji zapewniające, że ich rotacja jest zaplanowana w ciągu określonej liczby dni po utworzeniu. | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalną liczbę dni po utworzeniu klucza do czasu jego rotacji. | Audyt; Niepełnosprawny | 1.0.0 |
| Klucze powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas w dniach, przez który klucz może być prawidłowy w magazynie kluczy. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Klucze nie powinny być aktywne dłużej niż określona liczba dni | Określ liczbę dni, w których klucz powinien być aktywny. Klucze używane przez dłuższy czas zwiększają prawdopodobieństwo, że osoba atakująca może naruszyć klucz. Dobrym rozwiązaniem w zakresie zabezpieczeń jest upewnienie się, że twoje klucze nie były aktywne dłużej niż dwa lata. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Wpisy tajne powinny mieć więcej niż określoną liczbę dni przed wygaśnięciem | Jeśli wpis tajny jest zbyt blisko wygaśnięcia, opóźnienie organizacji w celu rotacji wpisu tajnego może spowodować awarię. Wpisy tajne powinny być obracane o określonej liczbie dni przed wygaśnięciem, aby zapewnić wystarczający czas reakcji na awarię. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Wpisy tajne powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas w dniach, przez który wpis tajny może być prawidłowy w magazynie kluczy. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Wpisy tajne nie powinny być aktywne dłużej niż określona liczba dni | Jeśli wpisy tajne zostały utworzone z datą aktywacji ustawioną w przyszłości, musisz upewnić się, że wpisy tajne nie były aktywne przez dłuższy niż określony czas trwania. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Klucze konta magazynu nie powinny być wygasłe | Upewnij się, że klucze konta magazynu użytkownika nie wygasły po ustawieniu zasad wygasania klucza, aby zwiększyć bezpieczeństwo kluczy kont przez podjęcie akcji po wygaśnięciu kluczy. | Audyt; Zaprzeczać; Niepełnosprawny | 3.0.0 |
DP-7: Używanie bezpiecznego procesu zarządzania certyfikatami
Aby uzyskać więcej informacji, zobacz Data Protection: DP-7: Use a secure certificate management process (Ochrona danych: DP-7: używanie bezpiecznego procesu zarządzania certyfikatami).
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Certyfikaty powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas ważności certyfikatu w magazynie kluczy. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 2.2.1 |
| Certyfikaty powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas ważności certyfikatu w magazynie kluczy. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 2.2.1 |
| Certyfikaty nie powinny wygasać w ciągu określonej liczby dni | Zarządzaj certyfikatami, które wygasną w ciągu określonej liczby dni, aby zapewnić organizacji wystarczający czas na wymianę certyfikatu przed wygaśnięciem. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 2.1.1 |
DP-8: Zapewnianie zabezpieczeń klucza i repozytorium certyfikatów
Aby uzyskać więcej informacji, zobacz Ochrona danych: DP-8: Zapewnianie zabezpieczeń klucza i repozytorium certyfikatów.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Usługa Azure Key Vault powinna mieć wyłączoną zaporę lub dostęp do sieci publicznej | Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP lub wyłączył dostęp do sieci publicznej dla magazynu kluczy, aby nie był dostępny za pośrednictwem publicznego Internetu. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: Zabezpieczenia sieci dla usługi Azure Key Vault i Integracja usługi Key Vault z usługą Azure Private Link | Audyt; Zaprzeczać; Niepełnosprawny | 3.3.0 |
| Usługa Azure Key Vault powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie Integrowanie usługi Key Vault z usługą Azure Private Link. | Audyt; Zaprzeczać; Niepełnosprawny | 1.2.1 |
| Magazyny kluczy powinny mieć włączoną ochronę usuwania | Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w twojej organizacji lub firmie Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe. | Audyt; Zaprzeczać; Niepełnosprawny | 2.1.0 |
| Magazyny kluczy powinny mieć włączone usuwanie nietrwałe | Usunięcie magazynu kluczy bez włączonego usuwania nietrwałego powoduje trwałe usunięcie wszystkich wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Przypadkowe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Usuwanie nietrwałe umożliwia odzyskanie przypadkowo usuniętego magazynu kluczy dla konfigurowalnego okresu przechowywania. | Audyt; Zaprzeczać; Niepełnosprawny | 3.1.0 |
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists; Niepełnosprawny | 5.0.0 |
DS-6: Zabezpieczanie cyklu życia obciążenia
Aby uzyskać więcej informacji, zobacz DevOps Security: DS-6: Secure the workload lifecycle (Zabezpieczenia: DS-6: zabezpieczanie cyklu życia obciążenia).
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Obrazy kontenerów rejestru platformy Azure powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez usługę Microsoft Defender Vulnerability Management) | Ocena podatności obrazów kontenerów skanuje rejestr w poszukiwaniu powszechnie znanych podatności (CVE) i generuje szczegółowy raport o podatności dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić pozycję bezpieczeństwa, zapewniając, że obrazy są bezpieczne do użycia przed wdrożeniem. | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
| Obrazy kontenerów działające na platformie Azure powinny mieć usunięte luki w zabezpieczeniach (obsługiwane przez usługę Microsoft Defender Vulnerability Management) | Ocena podatności obrazów kontenerów skanuje rejestr w poszukiwaniu powszechnie znanych podatności (CVE) i generuje szczegółowy raport o podatności dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Usuwanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych zadań. | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR)
Aby uzyskać więcej informacji, zobacz Zabezpieczenia punktu końcowego: ES-1: Używanie wykrywania i reagowania punktu końcowego (EDR).
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
ES-2: Korzystanie z nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem
Aby uzyskać więcej informacji, zobacz Endpoint Security: ES-2: Use modern anti-malware software (Zabezpieczenia punktu końcowego: ES-2: używanie nowoczesnego oprogramowania chroniącego przed złośliwym oprogramowaniem).
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). | AuditIfNotExists; Niepełnosprawny | 2.0.0 |
IM-1: Monitorowanie anomalii przy użyciu zautomatyzowanych narzędzi
Aby uzyskać więcej informacji, zobacz Identity Management: IM-1: Monitorowanie anomalii przy użyciu zautomatyzowanych narzędzi.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Administrator firmy Microsoft Entra powinien być aprowizowany dla serwerów PostgreSQL | Przeprowadź inspekcję aprowizacji administratora usługi Microsoft Entra dla serwera PostgreSQL, aby włączyć uwierzytelnianie firmy Microsoft Entra. Uwierzytelnianie firmy Microsoft Entra umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
| Administrator usługi Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora usługi Azure Active Directory dla serwera SQL, aby włączyć uwierzytelnianie usługi Azure AD. Uwierzytelnianie usługi Azure AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Aplikacje usługi App Service powinny mieć wyłączone lokalne metody uwierzytelniania dla wdrożeń FTP | Wyłączenie lokalnych metod uwierzytelniania dla wdrożeń FTP zwiększa bezpieczeństwo, zapewniając, że usługi App Services wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: Wyłączanie podstawowego uwierzytelniania w usłudze App Service. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Aplikacje usługi App Service powinny mieć wyłączone lokalne metody uwierzytelniania dla wdrożeń lokacji programu SCM | Wyłączenie lokalnych metod uwierzytelniania dla witryn SCM zwiększa bezpieczeństwo, zapewniając, że usługi App Services wymagają wyłącznie tożsamości firmy Microsoft do uwierzytelniania. Dowiedz się więcej na stronie: Wyłączanie podstawowego uwierzytelniania w usłudze App Service. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Komponenty Application Insights powinny blokować zbieranie danych nieoparte na Azure Active Directory. | Wymuszanie pozyskiwania dzienników w celu wymagania uwierzytelniania usługi Azure Active Directory uniemożliwia osobie atakującej nieuwierzytelnione dzienniki, co może prowadzić do nieprawidłowego stanu, fałszywych alertów i nieprawidłowych dzienników przechowywanych w systemie. | Zaprzeczać; Audyt; Niepełnosprawny | 1.0.0 |
| Zasoby usług Azure AI Powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: Uwierzytelnianie w usługach Azure AI | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.0 |
| Klastry usługi Azure Kubernetes Service powinny włączyć integrację identyfikatora Entra firmy Microsoft | Integracja tożsamości entra firmy Microsoft zarządza dostępem do klastrów zarządzanych przez usługę AKS, konfigurując kontrolę dostępu opartą na rolach (Kubernetes RBAC) na podstawie tożsamości użytkownika lub członkostwa w grupie katalogów. Dowiedz się więcej na stronie: Włączanie integracji usługi Microsoft Entra zarządzanej przez usługę AKS w klastrze usługi Azure Kubernetes Service. | Audyt; Niepełnosprawny | 1.0.2 |
| Obliczenia usługi Azure Machine Learning powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że obliczenia usługi Machine Learning wymagają tożsamości usługi Azure Active Directory wyłącznie na potrzeby uwierzytelniania. Dowiedz się więcej na temat kontroli zgodności z przepisami usługi Azure Policy dla usługi Azure Machine Learning. | Audyt; Zaprzeczać; Niepełnosprawny | 2.1.0 |
| Usługa Azure SQL Database powinna mieć włączone uwierzytelnianie tylko firmy Microsoft | Wymagaj, aby serwery logiczne Usługi Azure SQL używały uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują tworzenia serwerów z włączonym uwierzytelnianiem lokalnym. Uniemożliwia ona włączenie uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie : Create Server with Microsoft Entra-Only Authentication Enabled (Tworzenie serwera przy użyciu włączonego uwierzytelniania microsoft Entra-Only). | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa Azure SQL Database powinna mieć włączone uwierzytelnianie tylko firmy Microsoft podczas tworzenia | Wymagaj utworzenia serwerów logicznych usługi Azure SQL przy użyciu uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują ponownego włączania uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie : Create Server with Microsoft Entra-Only Authentication Enabled (Tworzenie serwera przy użyciu włączonego uwierzytelniania microsoft Entra-Only). | Audyt; Zaprzeczać; Niepełnosprawny | 1.2.0 |
| Usługa Azure SQL Managed Instance powinna mieć włączone uwierzytelnianie tylko firmy Microsoft | Wymagaj, aby usługa Azure SQL Managed Instance korzystała z uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują tworzenia wystąpień zarządzanych usługi Azure SQL z włączonym uwierzytelnianiem lokalnym. Uniemożliwia ona włączenie uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie : Create Server with Microsoft Entra-Only Authentication Enabled (Tworzenie serwera przy użyciu włączonego uwierzytelniania microsoft Entra-Only). | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa Azure SQL Managed Instances powinna mieć włączone uwierzytelnianie tylko firmy Microsoft podczas tworzenia | Wymagaj utworzenia usługi Azure SQL Managed Instance przy użyciu uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują ponownego włączania uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie : Create Server with Microsoft Entra-Only Authentication Enabled (Tworzenie serwera przy użyciu włączonego uwierzytelniania microsoft Entra-Only). | Audyt; Zaprzeczać; Niepełnosprawny | 1.2.0 |
| Konfigurowanie zasobów usług Azure AI Services w celu wyłączenia dostępu do klucza lokalnego (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Usługa Azure OpenAI Studio, zwykle używana podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu identyfikator Entra firmy Microsoft staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: Uwierzytelnianie w usługach Azure AI | DeployIfNotExists; Niepełnosprawny | 1.0.0 |
| Rejestry kontenerów powinny mieć wyłączone konto administratora lokalnego. | Wyłącz konto administratora dla rejestru, aby nie było dostępne dla administratora lokalnego. Wyłączenie lokalnych metod uwierzytelniania, takich jak użytkownik administracyjny, tokeny dostępu w zakresie repozytorium i anonimowe ściąganie zwiększa bezpieczeństwo, zapewniając, że rejestry kontenerów wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: Objaśnienie opcji uwierzytelniania usługi Azure Container Registry. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Konta bazy danych usługi Cosmos DB powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że konta bazy danych usługi Cosmos DB wymagają wyłącznie tożsamości usługi Azure Active Directory na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: Nawiązywanie połączenia z usługą Azure Cosmos DB for NoSQL przy użyciu kontroli dostępu opartej na rolach i identyfikatora Entra firmy Microsoft. | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.0 |
| Klastry usługi Service Fabric powinny używać tylko usługi Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem usługi Azure Active Directory w usłudze Service Fabric | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.0 |
| Konta magazynowania powinny uniemożliwić dostęp do klucza udostępnionego | Wymaganie inspekcji usługi Azure Active Directory (Azure AD) w celu autoryzowania żądań dla konta magazynu. Domyślnie żądania mogą być autoryzowane przy użyciu poświadczeń usługi Azure Active Directory lub przy użyciu klucza dostępu konta do autoryzacji klucza współdzielonego. Z tych dwóch typów autoryzacji to usługa Azure AD zapewnia większe bezpieczeństwo i jest ona łatwiejsza w użyciu niż klucz wspólny. Jest to także autoryzacja zalecana przez firmę Microsoft. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.0 |
| Konta magazynu powinny uniemożliwić dostęp do klucza współużytkowanego (z wyłączeniem kont magazynu utworzonych przez usługę Databricks) | Wymaganie inspekcji usługi Azure Active Directory (Azure AD) w celu autoryzowania żądań dla konta magazynu. Domyślnie żądania mogą być autoryzowane przy użyciu poświadczeń usługi Azure Active Directory lub przy użyciu klucza dostępu konta do autoryzacji klucza współdzielonego. Z tych dwóch typów autoryzacji to usługa Azure AD zapewnia większe bezpieczeństwo i jest ona łatwiejsza w użyciu niż klucz wspólny. Jest to także autoryzacja zalecana przez firmę Microsoft. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Obszary robocze usługi Synapse powinny mieć włączone uwierzytelnianie tylko w usłudze Microsoft Entra | Wymagaj, aby obszary robocze usługi Synapse używały uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują tworzenia obszarów roboczych z włączonym uwierzytelnianiem lokalnym. Uniemożliwia ona włączenie uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: Azure Synapse Analytics. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Obszary robocze usługi Synapse powinny używać tylko tożsamości usługi Microsoft Entra do uwierzytelniania podczas tworzenia obszaru roboczego | Wymagaj utworzenia obszarów roboczych usługi Synapse przy użyciu uwierzytelniania tylko firmy Microsoft. Te zasady nie blokują ponownego włączania uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "Uwierzytelnianie tylko firmy Microsoft", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: Azure Synapse Analytics. | Audyt; Zaprzeczać; Niepełnosprawny | 1.2.0 |
| Bramy sieci VPN powinny używać tylko uwierzytelniania Azure Active Directory (Azure AD) dla użytkowników punkt-do-sieci | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że bramy sieci VPN używają tylko tożsamości usługi Azure Active Directory do uwierzytelniania. Dowiedz się więcej o uwierzytelnianiu usługi Azure AD na stronie Konfigurowanie bramy sieci VPN P2S na potrzeby uwierzytelniania za pomocą identyfikatora Entra firmy Microsoft | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| [Wersja zapoznawcza]: Serwer elastyczny usługi Azure PostgreSQL powinien mieć włączone uwierzytelnianie tylko w usłudze Microsoft Entra | Wyłączenie lokalnych metod uwierzytelniania i zezwolenie tylko na uwierzytelnianie Entra firmy Microsoft zwiększa bezpieczeństwo, zapewniając, że elastyczny serwer Usługi Azure PostgreSQL może być dostępny wyłącznie przez tożsamości firmy Microsoft Entra. | Audyt; Niepełnosprawny | 1.0.0-preview |
IM-2: Wykrywanie i analizowanie zdarzeń zabezpieczeń
Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamościami: IM-2: Wykrywanie i analizowanie zdarzeń zabezpieczeń.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Użytkownicy muszą uwierzytelniać się przy użyciu uwierzytelniania wieloskładnikowego, aby tworzyć lub aktualizować zasoby | Ta definicja zasad blokuje operacje tworzenia i aktualizowania zasobów, gdy obiekt wywołujący nie jest uwierzytelniany za pośrednictwem uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, odwiedź stronę Planowanie obowiązkowego uwierzytelniania wieloskładnikowego firmy Microsoft (MFA). | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
IM-3: Ulepszanie procesów reagowania na zdarzenia
Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamościami: IM-3: Ulepszanie procesów reagowania na zdarzenia.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Miejsca aplikacji usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
| Konto usługi Automation powinno mieć tożsamość zarządzaną | Użyj tożsamości zarządzanych jako zalecanej metody uwierzytelniania za pomocą zasobów platformy Azure z elementów Runbook. Tożsamość zarządzana na potrzeby uwierzytelniania jest bezpieczniejsza i eliminuje obciążenie związane z zarządzaniem skojarzonym z użyciem konta Uruchom jako w kodzie elementu Runbook. | Audyt; Niepełnosprawny | 1.0.0 |
| Połączone usługi Azure Data Factory powinny używać uwierzytelniania tożsamości zarządzanej przypisanej przez system, jeśli jest obsługiwana | Używanie tożsamości zarządzanej przypisanej przez system podczas komunikacji z magazynami danych za pośrednictwem połączonych usług pozwala uniknąć użycia mniej zabezpieczonych poświadczeń, takich jak hasła lub parametry połączenia. | Audyt; Zaprzeczać; Niepełnosprawny | 2.1.0 |
| Obszary robocze usługi Azure Machine Learning powinny używać tożsamości zarządzanej przypisanej przez użytkownika | Dostęp manange do obszaru roboczego usługi Azure ML i skojarzonych zasobów, usługi Azure Container Registry, KeyVault, Storage i App Insights przy użyciu tożsamości zarządzanej przypisanej przez użytkownika. Domyślnie tożsamość zarządzana przypisana przez system jest używana przez obszar roboczy usługi Azure ML do uzyskiwania dostępu do skojarzonych zasobów. Tożsamość zarządzana przypisana przez użytkownika umożliwia utworzenie tożsamości jako zasobu platformy Azure i utrzymanie cyklu życia tej tożsamości. Dowiedz się więcej na stronie Konfigurowanie uwierzytelniania między usługą Azure Machine Learning i innymi usługami. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Konta usług Cognitive Services powinny używać tożsamości zarządzanej | Przypisanie tożsamości zarządzanej do konta usługi Cognitive Service pomaga zapewnić bezpieczne uwierzytelnianie. Ta tożsamość jest używana przez to konto usługi Cognitive Service do komunikowania się z innymi usługami platformy Azure, takimi jak Azure Key Vault, w bezpieczny sposób bez konieczności zarządzania poświadczeniami. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Zasób usługi komunikacji powinien używać tożsamości zarządzanej | Przypisanie tożsamości zarządzanej do zasobu usługi komunikacyjnej pomaga zapewnić bezpieczne uwierzytelnianie. Ta tożsamość jest używana przez ten zasób usługi komunikacji do komunikowania się z innymi usługami platformy Azure, takimi jak Azure Storage, w bezpieczny sposób bez konieczności zarządzania poświadczeniami. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AuditIfNotExists; Niepełnosprawny | 3.1.0 |
| Tożsamość zarządzana powinna być włączona dla usługi Container Apps | Wymuszanie tożsamości zarządzanej zapewnia, że usługa Container Apps może bezpiecznie uwierzytelniać się w dowolnym zasobie obsługującym uwierzytelnianie usługi Azure AD | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Zadanie usługi Stream Analytics powinno używać tożsamości zarządzanej do uwierzytelniania punktów końcowych | Upewnij się, że zadania usługi Stream Analytics łączą się tylko z punktami końcowymi przy użyciu uwierzytelniania tożsamości zarządzanej. | Zaprzeczać; Niepełnosprawny; Audyt | 1.0.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie Understand Azure Machine Configuration (Omówienie konfiguracji maszyny platformy Azure) | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
| [Wersja zapoznawcza]: Tożsamość zarządzana powinna być włączona na maszynach | Zasoby zarządzane przez program Automanage powinny mieć tożsamość zarządzaną. | Audyt; Niepełnosprawny | 1.0.0-preview |
| [Wersja zapoznawcza]: Poświadczenia federacyjne tożsamości zarządzanej z usługi Azure Kubernetes powinny pochodzić z zaufanych źródeł | Te zasady ograniczają federację z klastrami usługi Azure Kubernetes tylko do klastrów z zatwierdzonych dzierżaw, zatwierdzonych regionów i określonej listy wyjątków dodatkowych klastrów. | Audyt; Niepełnosprawny; Zaprzeczać | 1.0.0-preview |
| [Wersja zapoznawcza]: Poświadczenia federacyjne tożsamości zarządzanej z usługi GitHub powinny pochodzić od zaufanych właścicieli repozytorium | Te zasady ograniczają federację z repozytoriami GitHub tylko do zatwierdzonych właścicieli repozytoriów. | Audyt; Niepełnosprawny; Zaprzeczać | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: Poświadczenia federacyjne tożsamości zarządzanej powinny pochodzić z dozwolonych typów wystawców | Te zasady ograniczają, czy tożsamości zarządzane mogą używać poświadczeń federacyjnych, które są dozwolone typowych typów wystawców, oraz zawiera listę dozwolonych wyjątków wystawcy. | Audyt; Niepełnosprawny; Zaprzeczać | 1.0.0-preview |
IM-4: Włączanie funkcji rejestrowania i wykrywania zagrożeń
Aby uzyskać więcej informacji, zobacz Identity Management: IM-4: Enable logging and threat detection capabilities (Zarządzanie tożsamościami: im-4: włączanie rejestrowania i wykrywania zagrożeń).
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Wywołania API Management do backendów API powinny być uwierzytelniane | Wywołania z usługi API Management do zapleczy powinny używać jakiejś formy uwierzytelniania, niezależnie od tego, czy za pośrednictwem certyfikatów, czy poświadczeń. Nie dotyczy zapleczy usługi Service Fabric. | Audyt; Niepełnosprawny; Zaprzeczać | 1.0.1 |
| Wywołania usługi API Management do systemów backend API nie powinny pomijać weryfikacji odcisku palca certyfikatu ani weryfikacji nazwy | Aby zwiększyć bezpieczeństwo interfejsu API, usługa API Management powinna zweryfikować certyfikat serwera zaplecza dla wszystkich wywołań interfejsu API. Włącz odcisk palca certyfikatu SSL i walidację nazwy. | Audyt; Niepełnosprawny; Zaprzeczać | 1.0.2 |
| Punkty końcowe interfejsu API w usłudze Azure API Management powinny być uwierzytelniane | Punkty końcowe interfejsu API opublikowane w usłudze Azure API Management powinny wymuszać uwierzytelnianie, aby zminimalizować ryzyko bezpieczeństwa. Mechanizmy uwierzytelniania są czasami implementowane niepoprawnie lub brakuje. Dzięki temu osoby atakujące mogą wykorzystywać wady implementacji i uzyskiwać dostęp do danych. Dowiedz się więcej o zagrożeniu interfejsu API OWASP dla przerwanego uwierzytelniania użytkowników tutaj: Zalecenia dotyczące ograniczania zagrożeń zabezpieczeń interfejsu API OWASP Top 10 przy użyciu usługi API Management | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
| Usługa Azure SQL Database powinna mieć uruchomiony protokół TLS w wersji 1.2 lub nowszej | Ustawienie protokołu TLS w wersji 1.2 lub nowszej zwiększa bezpieczeństwo, zapewniając, że usługa Azure SQL Database może być dostępna tylko od klientów przy użyciu protokołu TLS 1.2 lub nowszego. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ mają dobrze udokumentowane luki w zabezpieczeniach. | Audyt; Niepełnosprawny; Zaprzeczać | 2.0.0 |
IM-6: Używanie automatycznej reakcji na zdarzenia
Aby uzyskać więcej informacji, zobacz Identity Management: IM-6: Use automated incident response (Zarządzanie tożsamościami: IM-6: używanie automatycznej odpowiedzi na zdarzenia).
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | Mimo że sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Linux platformy Azure za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej : Szczegółowe kroki: Tworzenie kluczy SSH i zarządzanie nimi na potrzeby uwierzytelniania na maszynie wirtualnej z systemem Linux na platformie Azure. | AuditIfNotExists; Niepełnosprawny | 3.2.0 |
IM-8: Ograniczanie dostępu do portów zarządzania
Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamościami: IM-8: Ograniczanie dostępu do portów zarządzania.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Tajne wartości w usłudze API Management powinny być przechowywane w Azure Key Vault | Nazwane wartości to kolekcja par nazw i wartości w każdej usłudze API Management. Wartości wpisów tajnych mogą być przechowywane jako zaszyfrowany tekst w usłudze API Management (niestandardowe wpisy tajne) lub przez odwołanie się do wpisów tajnych w usłudze Azure Key Vault. Aby zwiększyć bezpieczeństwo usługi API Management i wpisów tajnych, odwołaj się do wpisów tajnych nazwanych wartości z usługi Azure Key Vault. Usługa Azure Key Vault obsługuje szczegółowe zarządzanie dostępem i zasady rotacji wpisów tajnych. | Audyt; Niepełnosprawny; Zaprzeczać | 1.0.2 |
| Maszyny powinny mieć rozpoznane wyniki wpisów tajnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy zawierają tajne wyniki rozwiązań do skanowania wpisów tajnych na maszynach wirtualnych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
IR-2: Przygotowanie — powiadomienie o zdarzeniu konfiguracji
Aby uzyskać więcej informacji, zobacz Reagowanie na zdarzenia: IR-2: Przygotowanie — powiadomienie o zdarzeniu konfiguracji.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists; Niepełnosprawny | 1.2.0 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AuditIfNotExists; Niepełnosprawny | 2.1.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
IR-3: Wykrywanie i analiza — tworzenie zdarzeń na podstawie alertów wysokiej jakości
Aby uzyskać więcej informacji, zobacz Reagowanie na zdarzenia: IR-3: Wykrywanie i analiza — tworzenie zdarzeń na podstawie alertów wysokiej jakości.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager w usłudze Microsoft Defender dla usługi Resource Manager — korzyści i funkcje . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej na temat szczegółów cen w poszczególnych regionach na stronie cennika usługi Security Center: Cennik — Microsoft Defender for Cloud . | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists; Niepełnosprawny | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów elastycznych MySQL | Inspekcja serwerów elastycznych MySQL bez usługi Advanced Data Security | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów elastycznych PostgreSQL | Inspekcja serwerów elastycznych PostgreSQL bez usługi Advanced Data Security | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Usługa Azure Defender dla relacyjnych baz danych typu open source powinna być włączona | Usługa Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach usługi Azure Defender dla relacyjnych baz danych typu open source, zobacz Omówienie usługi Defender dla Open-Source relacyjnych baz danych. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: Cennik — Microsoft Defender for Cloud | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Należy włączyć usługę Microsoft CSPM w usłudze Defender | Zarządzanie stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender zapewnia ulepszone możliwości stanu oraz nowy inteligentny wykres zabezpieczeń w chmurze, który ułatwia identyfikowanie, określanie priorytetów i zmniejszanie ryzyka. CSPM w usłudze Defender jest dostępna oprócz bezpłatnych podstawowych funkcji stanu zabezpieczeń, które są domyślnie włączone w Defender dla Chmury. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Należy włączyć usługę Microsoft Defender dla interfejsów API | Usługa Microsoft Defender dla interfejsów API oferuje nowe funkcje odnajdywania, ochrony, wykrywania i reagowania w celu monitorowania typowych ataków opartych na interfejsie API i błędów konfiguracji zabezpieczeń. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych obszarów roboczych usługi Synapse | Włącz usługę Defender for SQL, aby chronić obszary robocze usługi Synapse. Usługa Defender for SQL monitoruje usługę Synapse SQL w celu wykrywania nietypowych działań wskazujących na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Stan usługi Microsoft Defender for SQL powinien być chroniony dla serwerów SQL z obsługą usługi Arc | Usługa Microsoft Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać na zagrożenia dla baz danych SQL, odnajdywanie i klasyfikowanie poufnych danych. Po włączeniu stan ochrony wskazuje, że zasób jest aktywnie monitorowany. Nawet jeśli usługa Defender jest włączona, należy zweryfikować wiele ustawień konfiguracji na agencie, komputerze, obszarze roboczym i serwerze SQL, aby zapewnić aktywną ochronę. | Audyt; Niepełnosprawny | 1.1.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Automatyczne aprowizowanie programu SQL Server powinno być włączone dla serwerów SQL w planie maszyn | Aby upewnić się, że maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc są chronione, upewnij się, że docelowy agent monitorowania sql jest skonfigurowany do automatycznego wdrażania. Jest to również konieczne, jeśli wcześniej skonfigurowano automatyczne aprowizowanie programu Microsoft Monitoring Agent, ponieważ ten składnik jest przestarzały. Dowiedz się więcej: Migrowanie do usługi Defender for SQL na maszynach przy użyciu usługi AMA | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
IR-4: Wykrywanie i analiza — badanie zdarzenia
Aby uzyskać więcej informacji, zobacz Reagowanie na zdarzenia: IR-4: Wykrywanie i analiza — badanie zdarzenia.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Usługa Network Watcher powinna być włączona | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieci w systemach, do i z platformy Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
IR-5: Wykrywanie i analiza — określanie priorytetów zdarzeń
Aby uzyskać więcej informacji, zobacz Reagowanie na zdarzenia: IR-5: Wykrywanie i analiza — określanie priorytetów zdarzeń.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager w usłudze Microsoft Defender dla usługi Resource Manager — korzyści i funkcje . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej na temat szczegółów cen w poszczególnych regionach na stronie cennika usługi Security Center: Cennik — Microsoft Defender for Cloud . | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists; Niepełnosprawny | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów elastycznych MySQL | Inspekcja serwerów elastycznych MySQL bez usługi Advanced Data Security | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów elastycznych PostgreSQL | Inspekcja serwerów elastycznych PostgreSQL bez usługi Advanced Data Security | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Usługa Azure Defender dla relacyjnych baz danych typu open source powinna być włączona | Usługa Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach usługi Azure Defender dla relacyjnych baz danych typu open source, zobacz Omówienie usługi Defender dla Open-Source relacyjnych baz danych. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: Cennik — Microsoft Defender for Cloud | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Należy włączyć usługę Microsoft CSPM w usłudze Defender | Zarządzanie stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender zapewnia ulepszone możliwości stanu oraz nowy inteligentny wykres zabezpieczeń w chmurze, który ułatwia identyfikowanie, określanie priorytetów i zmniejszanie ryzyka. CSPM w usłudze Defender jest dostępna oprócz bezpłatnych podstawowych funkcji stanu zabezpieczeń, które są domyślnie włączone w Defender dla Chmury. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Należy włączyć usługę Microsoft Defender dla interfejsów API | Usługa Microsoft Defender dla interfejsów API oferuje nowe funkcje odnajdywania, ochrony, wykrywania i reagowania w celu monitorowania typowych ataków opartych na interfejsie API i błędów konfiguracji zabezpieczeń. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych obszarów roboczych usługi Synapse | Włącz usługę Defender for SQL, aby chronić obszary robocze usługi Synapse. Usługa Defender for SQL monitoruje usługę Synapse SQL w celu wykrywania nietypowych działań wskazujących na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Stan usługi Microsoft Defender for SQL powinien być chroniony dla serwerów SQL z obsługą usługi Arc | Usługa Microsoft Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać na zagrożenia dla baz danych SQL, odnajdywanie i klasyfikowanie poufnych danych. Po włączeniu stan ochrony wskazuje, że zasób jest aktywnie monitorowany. Nawet jeśli usługa Defender jest włączona, należy zweryfikować wiele ustawień konfiguracji na agencie, komputerze, obszarze roboczym i serwerze SQL, aby zapewnić aktywną ochronę. | Audyt; Niepełnosprawny | 1.1.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Automatyczne aprowizowanie programu SQL Server powinno być włączone dla serwerów SQL w planie maszyn | Aby upewnić się, że maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc są chronione, upewnij się, że docelowy agent monitorowania sql jest skonfigurowany do automatycznego wdrażania. Jest to również konieczne, jeśli wcześniej skonfigurowano automatyczne aprowizowanie programu Microsoft Monitoring Agent, ponieważ ten składnik jest przestarzały. Dowiedz się więcej: Migrowanie do usługi Defender for SQL na maszynach przy użyciu usługi AMA | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
LT-1: Włączanie możliwości wykrywania zagrożeń
Aby uzyskać więcej informacji, zobacz Rejestrowanie i wykrywanie zagrożeń: LT-1: Włączanie możliwości wykrywania zagrożeń.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager w usłudze Microsoft Defender dla usługi Resource Manager — korzyści i funkcje . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej na temat szczegółów cen w poszczególnych regionach na stronie cennika usługi Security Center: Cennik — Microsoft Defender for Cloud . | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists; Niepełnosprawny | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów elastycznych MySQL | Inspekcja serwerów elastycznych MySQL bez usługi Advanced Data Security | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów elastycznych PostgreSQL | Inspekcja serwerów elastycznych PostgreSQL bez usługi Advanced Data Security | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Usługa Azure Defender dla relacyjnych baz danych typu open source powinna być włączona | Usługa Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach usługi Azure Defender dla relacyjnych baz danych typu open source, zobacz Omówienie usługi Defender dla Open-Source relacyjnych baz danych. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: Cennik — Microsoft Defender for Cloud | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender | Usługa Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Po włączeniu elementu SecurityProfile.AzureDefender w klastrze usługi Azure Kubernetes Service agent zostanie wdrożony w klastrze w celu zbierania danych zdarzeń zabezpieczeń. Dowiedz się więcej o usłudze Microsoft Defender for Containers w temacie Zarządzanie zaleceniami MCSB w usłudze Defender for Cloud | Audyt; Niepełnosprawny | 2.0.1 |
| Należy włączyć usługę Microsoft CSPM w usłudze Defender | Zarządzanie stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender zapewnia ulepszone możliwości stanu oraz nowy inteligentny wykres zabezpieczeń w chmurze, który ułatwia identyfikowanie, określanie priorytetów i zmniejszanie ryzyka. CSPM w usłudze Defender jest dostępna oprócz bezpłatnych podstawowych funkcji stanu zabezpieczeń, które są domyślnie włączone w Defender dla Chmury. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Należy włączyć usługę Microsoft Defender dla interfejsów API | Usługa Microsoft Defender dla interfejsów API oferuje nowe funkcje odnajdywania, ochrony, wykrywania i reagowania w celu monitorowania typowych ataków opartych na interfejsie API i błędów konfiguracji zabezpieczeń. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych obszarów roboczych usługi Synapse | Włącz usługę Defender for SQL, aby chronić obszary robocze usługi Synapse. Usługa Defender for SQL monitoruje usługę Synapse SQL w celu wykrywania nietypowych działań wskazujących na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Stan usługi Microsoft Defender for SQL powinien być chroniony dla serwerów SQL z obsługą usługi Arc | Usługa Microsoft Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać na zagrożenia dla baz danych SQL, odnajdywanie i klasyfikowanie poufnych danych. Po włączeniu stan ochrony wskazuje, że zasób jest aktywnie monitorowany. Nawet jeśli usługa Defender jest włączona, należy zweryfikować wiele ustawień konfiguracji na agencie, komputerze, obszarze roboczym i serwerze SQL, aby zapewnić aktywną ochronę. | Audyt; Niepełnosprawny | 1.1.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Automatyczne aprowizowanie programu SQL Server powinno być włączone dla serwerów SQL w planie maszyn | Aby upewnić się, że maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc są chronione, upewnij się, że docelowy agent monitorowania sql jest skonfigurowany do automatycznego wdrażania. Jest to również konieczne, jeśli wcześniej skonfigurowano automatyczne aprowizowanie programu Microsoft Monitoring Agent, ponieważ ten składnik jest przestarzały. Dowiedz się więcej: Migrowanie do usługi Defender for SQL na maszynach przy użyciu usługi AMA | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). | AuditIfNotExists; Niepełnosprawny | 2.0.0 |
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w artykule Wskaźnik bezpieczeństwa w usłudze Defender for Cloud. | AuditIfNotExists; Niepełnosprawny | Wersja zapoznawcza 6.0.0 |
LT-2: Włączanie wykrywania zagrożeń na potrzeby zarządzania tożsamościami i dostępem
Aby uzyskać więcej informacji, zobacz Rejestrowanie i wykrywanie zagrożeń: LT-2: Włączanie wykrywania zagrożeń na potrzeby zarządzania tożsamościami i dostępem.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Usługa Azure Defender for App Service powinna być włączona | Usługa Azure Defender for App Service wykorzystuje skalę chmury i widoczność, którą platforma Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Serwery usługi Azure Defender dla usługi Azure SQL Database powinny być włączone | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Usługa Azure Defender dla usługi Key Vault powinna być włączona | Usługa Azure Defender for Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń przez wykrywanie nietypowych i potencjalnie szkodliwych prób uzyskania dostępu do kont magazynu kluczy lub wykorzystania ich. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Usługa Azure Defender dla usługi Resource Manager powinna być włączona | Usługa Azure Defender dla usługi Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Usługa Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach usługi Azure Defender dla usługi Resource Manager w usłudze Microsoft Defender dla usługi Resource Manager — korzyści i funkcje . Włączenie tego planu usługi Azure Defender powoduje naliczanie opłat. Dowiedz się więcej na temat szczegółów cen w poszczególnych regionach na stronie cennika usługi Security Center: Cennik — Microsoft Defender for Cloud . | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Należy włączyć usługę Azure Defender dla serwerów SQL na maszynach | Usługa Azure Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AuditIfNotExists; Niepełnosprawny | 2.0.1 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów elastycznych MySQL | Inspekcja serwerów elastycznych MySQL bez usługi Advanced Data Security | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych serwerów elastycznych PostgreSQL | Inspekcja serwerów elastycznych PostgreSQL bez usługi Advanced Data Security | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Azure Defender for SQL powinna być włączona dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL bez zaawansowanych zabezpieczeń danych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Usługa Azure Defender dla relacyjnych baz danych typu open source powinna być włączona | Usługa Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach usługi Azure Defender dla relacyjnych baz danych typu open source, zobacz Omówienie usługi Defender dla Open-Source relacyjnych baz danych. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: Cennik — Microsoft Defender for Cloud | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Azure Defender dla serwerów powinna być włączona | Usługa Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Klastry usługi Azure Kubernetes Service powinny mieć włączony profil usługi Defender | Usługa Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Po włączeniu elementu SecurityProfile.AzureDefender w klastrze usługi Azure Kubernetes Service agent zostanie wdrożony w klastrze w celu zbierania danych zdarzeń zabezpieczeń. Dowiedz się więcej o usłudze Microsoft Defender for Containers w temacie Zarządzanie zaleceniami MCSB w usłudze Defender for Cloud | Audyt; Niepełnosprawny | 2.0.1 |
| Należy włączyć usługę Microsoft CSPM w usłudze Defender | Zarządzanie stanem zabezpieczeń w chmurze (CSPM) w usłudze Defender zapewnia ulepszone możliwości stanu oraz nowy inteligentny wykres zabezpieczeń w chmurze, który ułatwia identyfikowanie, określanie priorytetów i zmniejszanie ryzyka. CSPM w usłudze Defender jest dostępna oprócz bezpłatnych podstawowych funkcji stanu zabezpieczeń, które są domyślnie włączone w Defender dla Chmury. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Należy włączyć usługę Microsoft Defender for Containers | Usługa Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Platformy Azure, hybrydowej i wielochmurowej platformy Kubernetes. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Microsoft Defender for SQL powinna być włączona dla niechronionych obszarów roboczych usługi Synapse | Włącz usługę Defender for SQL, aby chronić obszary robocze usługi Synapse. Usługa Defender for SQL monitoruje usługę Synapse SQL w celu wykrywania nietypowych działań wskazujących na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Stan usługi Microsoft Defender for SQL powinien być chroniony dla serwerów SQL z obsługą usługi Arc | Usługa Microsoft Defender for SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać na zagrożenia dla baz danych SQL, odnajdywanie i klasyfikowanie poufnych danych. Po włączeniu stan ochrony wskazuje, że zasób jest aktywnie monitorowany. Nawet jeśli usługa Defender jest włączona, należy zweryfikować wiele ustawień konfiguracji na agencie, komputerze, obszarze roboczym i serwerze SQL, aby zapewnić aktywną ochronę. | Audyt; Niepełnosprawny | 1.1.0 |
| Usługa Microsoft Defender for Storage powinna być włączona | Usługa Microsoft Defender for Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy plan usługi Defender for Storage obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Automatyczne aprowizowanie programu SQL Server powinno być włączone dla serwerów SQL w planie maszyn | Aby upewnić się, że maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc są chronione, upewnij się, że docelowy agent monitorowania sql jest skonfigurowany do automatycznego wdrażania. Jest to również konieczne, jeśli wcześniej skonfigurowano automatyczne aprowizowanie programu Microsoft Monitoring Agent, ponieważ ten składnik jest przestarzały. Dowiedz się więcej: Migrowanie do usługi Defender for SQL na maszynach przy użyciu usługi AMA | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Funkcja Windows Defender Exploit Guard powinna być włączona na maszynach | Program Windows Defender Exploit Guard używa agenta konfiguracji gościa usługi Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach związanych ze złośliwym oprogramowaniem, umożliwiając przedsiębiorstwom zrównoważenie wymagań dotyczących ryzyka zabezpieczeń i produktywności (tylko system Windows). | AuditIfNotExists; Niepełnosprawny | 2.0.0 |
| [Wersja zapoznawcza]: zainstalowane powinny być klastry Kubernetes z obsługą usługi Azure Arc Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla usługi Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do zaplecza usługi Azure Defender for Kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w artykule Wskaźnik bezpieczeństwa w usłudze Defender for Cloud. | AuditIfNotExists; Niepełnosprawny | Wersja zapoznawcza 6.0.0 |
LT-3: Włączanie rejestrowania na potrzeby badania zabezpieczeń
Aby uzyskać więcej informacji, zobacz Rejestrowanie i wykrywanie zagrożeń: LT-3: Włączanie rejestrowania na potrzeby badania zabezpieczeń.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Audyt włączenia dzienników zasobów na aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AuditIfNotExists; Niepełnosprawny | 2.0.1 |
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja programu SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AuditIfNotExists; Niepełnosprawny | 2.0.0 |
| Usługa Azure Front Door powinna mieć włączone dzienniki zasobów | Włącz dzienniki zasobów dla usługi Azure Front Door (plus WAF) i przesyłaj do obszaru roboczego usługi Log Analytics. Uzyskaj szczegółowy wgląd w przychodzący ruch internetowy i akcje podjęte w celu wyeliminowania ataków. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Dzienniki diagnostyczne w zasobach usług AI platformy Azure powinny być włączone | Włączanie dzienników dla zasobów usług Azure AI. Dzięki temu można odtworzyć ślady aktywności na potrzeby badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Dzienniki zasobów w usłudze Azure Data Lake Store powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists; Niepełnosprawny | 5.0.0 |
| Dzienniki zasobów w obszarach roboczych usługi Azure Databricks powinny być włączone | Dzienniki zasobów umożliwiają ponowne tworzenie śladów aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci. | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
| Dzienniki zasobów w usłudze Azure Kubernetes Service powinny być włączone | Dzienniki zasobów usługi Azure Kubernetes Service mogą pomóc w ponownym utworzeniu śladów aktywności podczas badania zdarzeń zabezpieczeń. Włącz tę funkcję, aby upewnić się, że dzienniki będą istnieć w razie potrzeby | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Dzienniki zasobów w obszarach roboczych usługi Azure Machine Learning powinny być włączone | Dzienniki zasobów umożliwiają ponowne tworzenie śladów aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci. | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
| Dzienniki zasobów w usłudze Azure Stream Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists; Niepełnosprawny | 5.0.0 |
| Dzienniki zasobów w kontach Batch powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists; Niepełnosprawny | 5.0.0 |
| Dzienniki zasobów w usłudze Data Lake Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists; Niepełnosprawny | 5.0.0 |
| Dzienniki zasobów w Event Hub powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists; Niepełnosprawny | 5.0.0 |
| Dzienniki zasobów w usłudze IoT Hub powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists; Niepełnosprawny | 3.1.0 |
| Dzienniki zasobów w usłudze Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists; Niepełnosprawny | 5.0.0 |
| Dzienniki zasobów w usłudze Logic Apps powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists; Niepełnosprawny | 5.1.0 |
| Dzienniki zasobów w usługach wyszukiwania powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists; Niepełnosprawny | 5.0.0 |
| Dzienniki zasobów w usłudze Service Bus powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AuditIfNotExists; Niepełnosprawny | 5.0.0 |
LT-4: Włączanie rejestrowania sieci na potrzeby badania zabezpieczeń
Aby uzyskać więcej informacji, zobacz Rejestrowanie i wykrywanie zagrożeń: LT-4: Włączanie rejestrowania sieci na potrzeby badania zabezpieczeń.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Dzienniki przepływu należy skonfigurować dla każdej sieciowej grupy zabezpieczeń | Przeprowadź inspekcję sieciowych grup zabezpieczeń, aby sprawdzić, czy dzienniki przepływu są skonfigurowane. Włączenie dzienników przepływu umożliwia rejestrowanie informacji o ruchu IP przepływającym za pośrednictwem sieciowej grupy zabezpieczeń. Może służyć do optymalizowania przepływów sieciowych, monitorowania przepływności, weryfikowania zgodności, wykrywania nieautoryzowanego dostępu i nie tylko. | Audyt; Niepełnosprawny | 1.1.0 |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists; Niepełnosprawny | 1.0.2—wersja zapoznawcza |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Windows | Usługa Security Center używa agenta zależności firmy Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych platformy Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AuditIfNotExists; Niepełnosprawny | 1.0.2—wersja zapoznawcza |
LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza
Aby uzyskać więcej informacji, zobacz Rejestrowanie i wykrywanie zagrożeń: LT-5: Scentralizowane zarządzanie dziennikami zabezpieczeń i analiza.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Zapytania zapisane w usłudze Azure Monitor powinny być przechowywane na koncie przechowywania klienta w celu szyfrowania dzienników | Połącz konto magazynu z obszarem roboczym usługi Log Analytics, aby chronić zapisane zapytania przy użyciu szyfrowania konta magazynu. Klucze zarządzane przez klienta są często wymagane do spełnienia zgodności z przepisami i większej kontroli nad dostępem do zapisanych zapytań w usłudze Azure Monitor. Aby uzyskać więcej informacji na temat powyższych informacji, zobacz Klucz zarządzany przez klienta dla zapisanych zapytań w usłudze Azure Monitor. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 1.1.0 |
| [Wersja zapoznawcza]: Rozszerzenie Log Analytics powinno być zainstalowane na Twoich maszynach Azure Arc z systemem Linux | Te zasady przeprowadzają inspekcję maszyn usługi Azure Arc z systemem Linux, jeśli rozszerzenie usługi Log Analytics nie jest zainstalowane. | AuditIfNotExists; Niepełnosprawny | 1.0.1—wersja zapoznawcza |
| [Wersja zapoznawcza]: rozszerzenie usługi Log Analytics powinno być zainstalowane na maszynach z systemem Windows Azure Arc | Ta zasada audytuje maszyny Windows Azure Arc, jeśli rozszerzenie Log Analytics nie jest zainstalowane. | AuditIfNotExists; Niepełnosprawny | 1.0.1—wersja zapoznawcza |
LT-6: Konfigurowanie przechowywania magazynu dzienników
Aby uzyskać więcej informacji, zobacz Rejestrowanie i wykrywanie zagrożeń: LT-6: Konfigurowanie przechowywania magazynu dzienników.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Serwery SQL z inspekcją miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym | W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji programu SQL Server na koncie magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
NS-1: Ustanawianie granic segmentacji sieci
Aby uzyskać więcej informacji, zobacz Zabezpieczenia sieci: NS-1: Ustanawianie granic segmentacji sieci.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Usługa Azure Security Center zidentyfikowała, że niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń są zbyt permissywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie Omówienie sieciowych grup zabezpieczeń platformy Azure | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie Omówienie sieciowych grup zabezpieczeń platformy Azure | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy kontroli dostępu (ACL), które zezwalają lub odmawiają ruchu sieciowego do podsieci. | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
NS-2: Zabezpieczanie usług w chmurze za pomocą kontrolek sieci
Aby uzyskać więcej informacji, zobacz Zabezpieczenia sieciowe: NS-2: Zabezpieczanie usług w chmurze za pomocą mechanizmów kontroli sieci.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Usługi API Management powinny używać sieci wirtualnej | Wdrożenie usługi Azure Virtual Network zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby był dostępny z Internetu lub tylko w sieci wirtualnej. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.2 |
| Usługa API Management powinna wyłączyć dostęp do sieci publicznej do punktów końcowych konfiguracji usługi | Aby zwiększyć bezpieczeństwo usług API Management, ogranicz łączność z punktami końcowymi konfiguracji usługi, takimi jak bezpośredni interfejs API zarządzania dostępem, punkt końcowy zarządzania konfiguracją usługi Git lub punkt końcowy konfiguracji bram hostowanych samodzielnie. | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
| Konfiguracja aplikacji powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: Używanie prywatnych punktów końcowych dla usługi Azure App Configuration. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa App Configuration powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku korzystania z obsługiwanej jednostki SKU usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: Używanie prywatnych punktów końcowych dla usługi Azure App Configuration. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa App Configuration powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: Używanie prywatnych punktów końcowych dla usługi Azure App Configuration. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Aplikacje środowiska App Service Environment nie powinny być dostępne za pośrednictwem publicznego Internetu | Aby zapewnić, że aplikacje wdrożone w środowisku App Service Environment nie są dostępne za pośrednictwem publicznego Internetu, należy wdrożyć środowisko App Service Environment z adresem IP w sieci wirtualnej. Aby ustawić adres IP na adres IP sieci wirtualnej, należy wdrożyć środowisko App Service Environment z wewnętrznym modułem równoważenia obciążenia. | Audyt; Zaprzeczać; Niepełnosprawny | 3.0.0 |
| Miejsca aplikacji usługi App Service powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa App Service nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie na działanie usługi App Service. Dowiedz się więcej na stronie: Używanie prywatnych punktów końcowych dla aplikacji. | Audyt; Niepełnosprawny; Zaprzeczać | 1.0.0 |
| Aplikacje usługi App Service powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa App Service nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie na działanie usługi App Service. Dowiedz się więcej na stronie: Używanie prywatnych punktów końcowych dla aplikacji. | Audyt; Niepełnosprawny; Zaprzeczać | 1.1.0 |
| Aplikacje usługi App Service powinny używać jednostki SKU obsługującej link prywatny | W przypadku obsługiwanych jednostek SKU usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na aplikacje, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Używanie prywatnych punktów końcowych dla aplikacji. | Audyt; Zaprzeczać; Niepełnosprawny | 4.3.0 |
| Aplikacje usługi App Service powinny używać linku prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę App Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Używanie prywatnych punktów końcowych dla aplikacji. | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
| Elementy Application Insights powinny blokować pobieranie i zapytania dzienników z publicznych sieci | Zwiększ bezpieczeństwo usługi Application Insights, blokując pozyskiwanie dzienników i wykonywanie zapytań z sieci publicznych. Tylko sieci połączone za pomocą łącza prywatnego będą mogły pozyskiwać i wykonywać zapytania dotyczące dzienników tego składnika. Dowiedz się więcej w artykule Używanie usługi Azure Private Link do łączenia sieci z usługą Azure Monitor. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 1.1.0 |
| Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. | Audyt; Niepełnosprawny | 2.0.1 |
| Konta usługi Automation powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego możesz ograniczyć narażenie zasobów konta usługi Automation, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: Używanie usługi Azure Private Link do bezpiecznego łączenia sieci z usługą Azure Automation. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa Azure AI usługa wyszukiwania powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługi Azure AI Search usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi wyszukiwania powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej na stronie: Tworzenie prywatnego punktu końcowego na potrzeby bezpiecznego połączenia. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Usługa Azure AI usługa wyszukiwania powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure AI Search nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługi Wyszukiwania. Dowiedz się więcej na stronie: Tworzenie prywatnego punktu końcowego na potrzeby bezpiecznego połączenia. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Zasoby usług Azure AI Services powinny ograniczać dostęp do sieci | Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure AI. | Audyt; Zaprzeczać; Niepełnosprawny | 3.3.0 |
| Zasoby usług Azure AI Services powinny używać usługi Azure Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link zmniejsza ryzyko wycieku danych dzięki obsłudze łączności między konsumentem a usługami za pośrednictwem sieci szkieletowej platformy Azure. Dowiedz się więcej o linkach prywatnych na stronie: Co to jest usługa Azure Private Link? | Audyt; Niepełnosprawny | 1.0.0 |
| Interfejs API platformy Azure dla standardu FHIR powinien używać łącza prywatnego | Interfejs API platformy Azure dla standardu FHIR powinien mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. Aby uzyskać więcej informacji, odwiedź stronę Konfigurowanie usługi Private Link dla usług Azure Health Data Services. | Audyt; Niepełnosprawny | 1.0.0 |
| Zakresy usługi Azure Arc Private Link powinny być skonfigurowane z prywatnym punktem końcowym | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zakresy usługi Azure Arc Private Link powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Używanie usługi Azure Private Link do łączenia serwerów z usługą Azure Arc przy użyciu prywatnego punktu końcowego. | Audyt; Niepełnosprawny | 1.0.0 |
| Zakresy usługi Azure Arc Private Link powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasoby usługi Azure Arc nie mogą łączyć się za pośrednictwem publicznego Internetu. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie zasobów usługi Azure Arc. Dowiedz się więcej na stronie: Łączenie serwerów z usługą Azure Arc przy użyciu prywatnego punktu końcowego przy użyciu usługi Azure Private Link. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Klastry kubernetes z obsługą usługi Azure Arc powinny być skonfigurowane z zakresem usługi Azure Arc Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie serwerów z obsługą usługi Azure Arc do zakresu usługi Azure Arc Private Link skonfigurowanego przy użyciu prywatnego punktu końcowego zmniejsza ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Używanie usługi Azure Private Link do łączenia serwerów z usługą Azure Arc przy użyciu prywatnego punktu końcowego. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Serwery z obsługą usługi Azure Arc powinny być skonfigurowane z zakresem usługi Azure Arc Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie serwerów z obsługą usługi Azure Arc do zakresu usługi Azure Arc Private Link skonfigurowanego przy użyciu prywatnego punktu końcowego zmniejsza ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Używanie usługi Azure Private Link do łączenia serwerów z usługą Azure Arc przy użyciu prywatnego punktu końcowego. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Dostawcy zaświadczania platformy Azure powinni wyłączyć dostęp do sieci publicznej | Aby zwiększyć bezpieczeństwo usługi zaświadczania platformy Azure, upewnij się, że nie jest ona widoczna w publicznym Internecie i może być dostępna tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w aka.ms/azureattestation. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa Azure Cache for Redis Enterprise powinna używać łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapowanie prywatnych punktów końcowych na wystąpienia usługi Azure Cache for Redis Enterprise powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej na stronie: Co to jest usługa Azure Cache for Redis z usługą Azure Private Link?. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Azure Cache for Redis powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Cache for Redis nie jest uwidoczniona w publicznym Internecie. Zamiast tego możesz ograniczyć narażenie usługi Azure Cache for Redis, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: Co to jest usługa Azure Cache for Redis z usługą Azure Private Link?. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa Azure Cache for Redis powinna używać łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapując prywatne punkty końcowe do wystąpień usługi Azure Cache for Redis, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: Co to jest usługa Azure Cache for Redis z usługą Azure Private Link?. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Konta usługi Azure Cosmos DB powinny mieć reguły zapory | Reguły zapory powinny być zdefiniowane na kontach usługi Azure Cosmos DB, aby uniemożliwić ruch z nieautoryzowanych źródeł. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne. | Audyt; Zaprzeczać; Niepełnosprawny | 2.1.0 |
| Usługa Azure Cosmos DB powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że konto usługi CosmosDB nie jest uwidocznione w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie konta usługi CosmosDB. Dowiedz się więcej na stronie: Blokowanie dostępu do sieci publicznej podczas tworzenia konta usługi Azure Cosmos DB. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Klaster usługi Azure Data Explorer powinien używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do klastra usługi Azure Data Explorer, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Prywatne punkty końcowe dla usługi Azure Data Explorer. | Audyt; Niepełnosprawny | 1.0.0 |
| Usługa Azure Data Explorer powinna używać jednostki SKU obsługującej łącze prywatne | W przypadku obsługiwanych jednostek SKU usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na aplikacje, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Używanie prywatnych punktów końcowych dla aplikacji. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa Azure Data Factory powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do usługi Azure Data Factory powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Azure Private Link for Azure Data Factory. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Klastry usługi Azure Databricks powinny wyłączyć publiczny adres IP | Wyłączenie publicznego adresu IP klastrów w obszarach roboczych usługi Azure Databricks zwiększa bezpieczeństwo, zapewniając, że klastry nie są uwidocznione w publicznym Internecie. Dowiedz się więcej na stronie: Włączanie bezpiecznej łączności z klastrem. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Obszary robocze usługi Azure Databricks powinny znajdować się w sieci wirtualnej | Sieci wirtualne platformy Azure zapewniają zwiększone zabezpieczenia i izolację dla obszarów roboczych usługi Azure Databricks, a także podsieci, zasad kontroli dostępu i innych funkcji w celu dalszego ograniczenia dostępu. Dowiedz się więcej na stronie: Wdrażanie usługi Azure Databricks w sieci wirtualnej platformy Azure (iniekcja sieci wirtualnej). | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.2 |
| Obszary robocze usługi Azure Databricks powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego możesz kontrolować ekspozycję zasobów, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie : Pojęcia dotyczące usługi Azure Private Link. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Obszary robocze usługi Azure Databricks powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszarów roboczych usługi Azure Databricks, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie : Konfigurowanie łączności prywatnej zaplecza z usługą Azure Databricks. | Audyt; Niepełnosprawny | 1.0.2 |
| Obszary robocze usługi Azure Databricks powinny być jednostkami SKU w warstwie Premium, która obsługuje funkcje, takie jak link prywatny, klucz zarządzany przez klienta na potrzeby szyfrowania | Zezwalaj tylko na obszar roboczy usługi Databricks z jednostkami SKU w warstwie Premium, którą organizacja może wdrożyć w celu obsługi funkcji, takich jak Usługa Private Link, klucz zarządzany przez klienta na potrzeby szyfrowania. Dowiedz się więcej na stronie: Konfigurowanie łączności prywatnej zaplecza z usługą Azure Databricks. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Usługa Azure Device Update dla kont usługi IoT Hub powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konta usługi Azure Device Update dla kont usługi IoT Hub, zmniejsza się ryzyko wycieku danych. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Domeny usługi Azure Event Grid powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: Konfigurowanie prywatnych punktów końcowych dla tematów lub domen. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Domeny usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: Konfigurowanie prywatnych punktów końcowych dla tematów lub domen. | Audyt; Niepełnosprawny | 1.0.2 |
| Broker MQTT przestrzeni nazw usługi Azure Event Grid powinien używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzeń nazw usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: Konfigurowanie prywatnych punktów końcowych dla tematów lub domen. | Audyt; Niepełnosprawny | 1.0.0 |
| Broker tematu przestrzeni nazw usługi Azure Event Grid powinien używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzeń nazw usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: Konfigurowanie prywatnych punktów końcowych dla tematów lub domen. | Audyt; Niepełnosprawny | 1.0.0 |
| Przestrzenie nazw usługi Azure Event Grid powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: Konfigurowanie prywatnych punktów końcowych dla tematów lub domen. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Tematy usługi Azure Event Grid powinny wyłączać dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: Konfigurowanie prywatnych punktów końcowych dla tematów lub domen. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Tematy usługi Azure Event Grid powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: Konfigurowanie prywatnych punktów końcowych dla tematów lub domen. | Audyt; Niepełnosprawny | 1.0.2 |
| Usługa Azure File Sync powinna używać łącza prywatnego | Utworzenie prywatnego punktu końcowego dla wskazanego zasobu usługi synchronizacji magazynu umożliwia adresowanie zasobu usługi synchronizacji magazynu z prywatnej przestrzeni adresowej IP sieci organizacji, a nie za pośrednictwem publicznego punktu końcowego dostępnego z Internetu. Samo utworzenie prywatnego punktu końcowego nie powoduje wyłączenia publicznego punktu końcowego. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Profile usługi Azure Front Door powinny używać warstwy Premium obsługującej zarządzane reguły zapory aplikacji internetowej i link prywatny | Usługa Azure Front Door Premium obsługuje reguły zarządzanej zapory aplikacji internetowej platformy Azure i link prywatny do obsługiwanych źródeł platformy Azure. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa Azure HDInsight powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do klastrów usługi Azure HDInsight, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie : Włączanie usługi Private Link w klastrze usługi Azure HDInsight. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa usuwania identyfikacji usług Azure Health Data Services powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. | Audyt; Niepełnosprawny | 1.0.0 |
| Usługa usuwania identyfikacji usług Azure Health Data Services powinna używać łącza prywatnego | Usługa usuwania identyfikacji usług Azure Health Data Services powinna mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. | Audyt; Niepełnosprawny | 1.0.0 |
| Obszar roboczy usługi Azure Health Data Services powinien używać łącza prywatnego | Obszar roboczy usług danych kondycji powinien mieć co najmniej jedno zatwierdzone prywatne połączenie punktu końcowego. Klienci w sieci wirtualnej mogą bezpiecznie uzyskiwać dostęp do zasobów, które mają prywatne połączenia punktów końcowych za pośrednictwem łączy prywatnych. Aby uzyskać więcej informacji, odwiedź stronę Konfigurowanie usługi Private Link dla usług Azure Health Data Services. | Audyt; Niepełnosprawny | 1.0.0 |
| Usługa Azure Key Vault powinna wyłączyć dostęp do sieci publicznej | Wyłącz dostęp do sieci publicznej dla magazynu kluczy, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: Integrowanie usługi Key Vault z usługą Azure Private Link. | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.0 |
| Usługa Azure Key Vault powinna mieć wyłączoną zaporę lub dostęp do sieci publicznej | Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP lub wyłączył dostęp do sieci publicznej dla magazynu kluczy, aby nie był dostępny za pośrednictwem publicznego Internetu. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: Zabezpieczenia sieci dla usługi Azure Key Vault i Integracja usługi Key Vault z usługą Azure Private Link | Audyt; Zaprzeczać; Niepełnosprawny | 3.3.0 |
| Usługa Azure Key Vault powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie Integrowanie usługi Key Vault z usługą Azure Private Link. | Audyt; Zaprzeczać; Niepełnosprawny | 1.2.1 |
| Obliczenia usługi Azure Machine Learning powinny znajdować się w sieci wirtualnej | Sieci wirtualne platformy Azure zapewniają zwiększone zabezpieczenia i izolację klastrów obliczeniowych i wystąpień usługi Azure Machine Learning, a także podsieci, zasad kontroli dostępu i innych funkcji w celu dalszego ograniczenia dostępu. Po skonfigurowaniu obliczeń z siecią wirtualną nie jest on publicznie adresowany i można uzyskać do niego dostęp tylko z maszyn wirtualnych i aplikacji w sieci wirtualnej. | Audyt; Niepełnosprawny | 1.0.1 |
| Obszary robocze usługi Azure Machine Learning powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że obszary robocze usługi Machine Learning nie są uwidocznione w publicznym Internecie. Zamiast tego możesz kontrolować ekspozycję obszarów roboczych, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: Konfigurowanie prywatnego punktu końcowego dla obszaru roboczego usługi Azure Machine Learning. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.1 |
| Usługi Azure Machine Learning i Ai Studio powinny używać trybu zezwalania tylko na zatwierdzone wychodzące zarządzane sieci wirtualnej | Izolacja zarządzanej sieci wirtualnej usprawnia i automatyzuje konfigurację izolacji sieci za pomocą wbudowanej sieci wirtualnej zarządzanej przez usługę Azure Machine Learning na poziomie obszaru roboczego. Zarządzana sieć wirtualna zabezpiecza zarządzane zasoby usługi Azure Machine Learning, takie jak wystąpienia obliczeniowe, klastry obliczeniowe, bezserwerowe obliczenia i zarządzane punkty końcowe online. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Obszary robocze usługi Azure Machine Learning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszarów roboczych usługi Azure Machine Learning, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Konfigurowanie prywatnego punktu końcowego dla obszaru roboczego usługi Azure Machine Learning. | Audyt; Niepełnosprawny | 1.0.0 |
| Obszary robocze usługi Azure Managed Grafana powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że obszar roboczy usługi Azure Managed Grafana nie jest uwidoczniony w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie obszarów roboczych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Obszary robocze usługi Azure Managed Grafana powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zarządzaną platformę Grafana, można zmniejszyć ryzyko wycieku danych. | Audyt; Niepełnosprawny | 1.0.1 |
| Zakres usługi Azure Monitor Private Link powinien blokować dostęp do zasobów nienależących do linków prywatnych | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z zasobami platformy Azure za pośrednictwem prywatnego punktu końcowego z zakresem usługi Azure Monitor Private Link (AMPLS). Tryby dostępu usługi Private Link są ustawiane na platformie AMPLS w celu kontrolowania, czy pozyskiwanie i wysyłanie zapytań do żądań z sieci może dotrzeć do wszystkich zasobów, czy tylko zasoby usługi Private Link (aby zapobiec eksfiltracji danych). Dowiedz się więcej na temat linków prywatnych na stronie: Tryby dostępu usługi Azure Private Link (tylko prywatne a otwarte). | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Zakres usługi Azure Monitor Private Link powinien używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zakres łączy prywatnych usługi Azure Monitor, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: Łączenie sieci z usługą Azure Monitor przy użyciu usługi Azure Private Link. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Konta usługi Azure Purview powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konta usługi Azure Purview zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: Używanie prywatnych punktów końcowych w klasycznym portalu ładu usługi Microsoft Purview. | Audyt; Niepełnosprawny | 1.0.0 |
| Usługa Azure SQL Managed Instances powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej (publicznego punktu końcowego) w usłudze Azure SQL Managed Instances zwiększa bezpieczeństwo, zapewniając dostęp do nich tylko z sieci wirtualnych lub za pośrednictwem prywatnych punktów końcowych. Aby dowiedzieć się więcej o dostępie do sieci publicznej, odwiedź stronę Konfigurowanie publicznego punktu końcowego. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Przestrzenie nazw usługi Azure Service Bus powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw usługi Service Bus, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: Zezwalaj na dostęp do przestrzeni nazw usługi Azure Service Bus za pośrednictwem prywatnych punktów końcowych. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Usługa Azure SignalR Service powinna wyłączyć dostęp do sieci publicznej | Aby zwiększyć bezpieczeństwo zasobu usługi Azure SignalR Service, upewnij się, że nie jest on udostępniany publicznemu Internetowi i można uzyskać do niego dostęp tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w temacie Konfigurowanie kontroli dostępu do sieci. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.2.0 |
| Usługa Azure SignalR Service powinna używać jednostki SKU z obsługą usługi Private Link | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym, które chronią zasoby przed ryzykiem wycieku danych publicznych. Zasady ograniczają jednostki SKU z obsługą usługi Private Link dla usługi Azure SignalR Service. Dowiedz się więcej o linku prywatnym pod adresem: Używanie prywatnych punktów końcowych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa Azure SignalR Service powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na zasób usługi Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Używanie prywatnych punktów końcowych. | Audyt; Niepełnosprawny | 1.0.0 |
| Usługa Azure Spring Cloud powinna używać iniekcji sieci | Wystąpienia usługi Azure Spring Cloud powinny używać iniekcji sieci wirtualnej do następujących celów: 1. Izolowanie usługi Azure Spring Cloud z Internetu. 2. Umożliwianie usłudze Azure Spring Cloud interakcji z systemami w lokalnych centrach danych lub usłudze platformy Azure w innych sieciach wirtualnych. 3. Umożliwienie klientom kontrolowania przychodzącej i wychodzącej komunikacji sieciowej dla usługi Azure Spring Cloud. | Audyt; Niepełnosprawny; Zaprzeczać | 1.2.0 |
| Obszary robocze usługi Azure Synapse powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że obszar roboczy usługi Synapse nie jest uwidoczniony w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie obszarów roboczych usługi Synapse. Dowiedz się więcej na stronie: Ustawienia łączności usługi Azure Synapse Analytics. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Obszary robocze usługi Azure Synapse powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do obszaru roboczego usługi Azure Synapse, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych na stronie: Nawiązywanie połączenia z obszarem roboczym usługi Azure Synapse przy użyciu linków prywatnych. | Audyt; Niepełnosprawny | 1.0.1 |
| hostów usługi Azure Virtual Desktop powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo i zapewnia bezpieczeństwo danych, zapewniając, że dostęp do usługi Azure Virtual Desktop nie jest uwidoczniony w publicznym Internecie. Dowiedz się więcej na stronie: Konfigurowanie usługi Private Link za pomocą usługi Azure Virtual Desktop. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| hostów usługi Azure Virtual Desktop powinny wyłączać dostęp do sieci publicznej tylko na hostach sesji | Wyłączenie dostępu do sieci publicznej dla hostów sesji puli hostów usługi Azure Virtual Desktop, ale umożliwienie użytkownikom końcowym dostępu publicznego zwiększa bezpieczeństwo przez ograniczenie narażenia na publiczny Internet. Dowiedz się więcej na stronie: Konfigurowanie usługi Private Link za pomocą usługi Azure Virtual Desktop. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa Azure Virtual Desktop powinna używać łącza prywatnego | Korzystanie z usługi Azure Private Link z zasobami usługi Azure Virtual Desktop może zwiększyć bezpieczeństwo i zapewnić bezpieczeństwo danych. Dowiedz się więcej o linkach prywatnych pod adresem: Konfigurowanie usługi Private Link za pomocą usługi Azure Virtual Desktop. | Audyt; Niepełnosprawny | 1.0.0 |
| Obszary robocze usługi Azure Virtual Desktop powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej dla zasobu obszaru roboczego usługi Azure Virtual Desktop uniemożliwia dostęp do kanału informacyjnego za pośrednictwem publicznego Internetu. Zezwolenie tylko na dostęp do sieci prywatnej zwiększa bezpieczeństwo i zapewnia bezpieczeństwo danych. Dowiedz się więcej na stronie: Konfigurowanie usługi Private Link za pomocą usługi Azure Virtual Desktop. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa Azure Web PubSub powinna wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Web PubSub nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie usługi Azure Web PubSub. Dowiedz się więcej na stronie: Azure Web PubSub network access control (Kontrola dostępu do sieci Web PubSub na platformie Azure). | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa Azure Web PubSub powinna używać jednostki SKU obsługującej łącze prywatne | Dzięki obsługiwanej jednostce SKU usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Prywatny punkt końcowy usługi Azure Web PubSub. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Usługa Azure Web PubSub powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnych z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę Azure Web PubSub Service, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Prywatny punkt końcowy usługi Azure Web PubSub. | Audyt; Niepełnosprawny | 1.0.0 |
| Usługa Bot Service powinna mieć wyłączony dostęp do sieci publicznej | Boty powinny być ustawione na tryb "tylko izolowany". To ustawienie umożliwia skonfigurowanie kanałów usługi Bot Service, które wymagają wyłączenia ruchu przez publiczny Internet. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Zasoby usługi BotService powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasób usługi BotService powoduje zmniejszenie ryzyka wycieku danych. | Audyt; Niepełnosprawny | 1.0.0 |
| Środowisko usługi Container Apps powinno wyłączyć dostęp do sieci publicznej | Wyłącz dostęp do sieci publicznej, aby zwiększyć bezpieczeństwo, uwidaczniając środowisko usługi Container Apps za pośrednictwem wewnętrznego modułu równoważenia obciążenia. Eliminuje to potrzebę publicznego adresu IP i uniemożliwia dostęp do Internetu do wszystkich aplikacji kontenera w środowisku. | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.0 |
| Rejestry kontenerów powinny mieć jednostki SKU obsługujące łącza prywatne | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych do rejestrów kontenerów zamiast całej usługi zmniejsza ryzyko wycieku danych. Dowiedz się więcej na stronie: Konfigurowanie prywatnego punktu końcowego za pomocą usługi Private Link dla usługi ACR. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci | Rejestry kontenerów platformy Azure domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych prywatnych punktów końcowych, publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma skonfigurowanych reguł sieciowych, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry tutaj: Konfigurowanie prywatnego punktu końcowego za pomocą usługi Private Link dla usługi ACR, konfigurowanie dostępu do rejestru publicznego na platformie Azure i ograniczanie dostępu do usługi Azure Container Registry przy użyciu punktów końcowych usługi. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.0 |
| Rejestry kontenerów powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: Konfigurowanie prywatnego punktu końcowego za pomocą usługi Private Link dla usługi ACR. | Audyt; Niepełnosprawny | 1.0.1 |
| Konta usługi CosmosDB powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie Konfigurowanie usługi Azure Private Link dla konta usługi Azure Cosmos DB. | Audyt; Niepełnosprawny | 1.0.0 |
| Zasoby dostępu do dysku powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na diskAccesses, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Ograniczanie dostępu importu/eksportu do dysków zarządzanych. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Rozwiązanie ElasticSan powinno wyłączyć dostęp do sieci publicznej | Wyłącz dostęp do sieci publicznej dla usługi ElasticSan, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny wyłączyć dostęp do sieci publicznej | Usługa Azure Event Hub powinna mieć wyłączony dostęp do sieci publicznej. Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: Zezwalaj na dostęp do przestrzeni nazw usługi Azure Event Hubs za pośrednictwem prywatnych punktów końcowych | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Przestrzenie nazw centrum zdarzeń powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na przestrzenie nazw centrum zdarzeń, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na stronie: Zezwalaj na dostęp do przestrzeni nazw usługi Azure Event Hubs za pośrednictwem prywatnych punktów końcowych. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Miejsca aplikacji funkcji powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że aplikacja funkcji nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie aplikacji funkcji. Dowiedz się więcej na stronie: Używanie prywatnych punktów końcowych dla aplikacji. | Audyt; Niepełnosprawny; Zaprzeczać | 1.1.0 |
| Aplikacje funkcji powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że aplikacja funkcji nie jest uwidoczniona w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie aplikacji funkcji. Dowiedz się więcej na stronie: Używanie prywatnych punktów końcowych dla aplikacji. | Audyt; Niepełnosprawny; Zaprzeczać | 1.1.0 |
| Usługa IoT Central powinna używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na aplikację usługi IoT Central zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Zabezpieczenia sieci przy użyciu prywatnych punktów końcowych w usłudze IoT Central. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Wystąpienia usługi IoT Hub device provisioning powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że wystąpienie usługi IoT Hub device provisioning nie jest uwidocznione w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie wystąpień aprowizacji urządzeń usługi IoT Hub. Dowiedz się więcej na stronie: Połączenia sieci wirtualnej dla usługi DPS. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Wystąpienia usługi IoT Hub device provisioning powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na usługę aprowizacji urządzeń usługi IoT Hub, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Połączenia sieci wirtualnej dla usługi DPS. | Audyt; Niepełnosprawny | 1.0.0 |
| Obszary robocze usługi Log Analytics powinny blokować pozyskiwanie dzienników i wykonywanie zapytań z sieci publicznych | Zwiększ bezpieczeństwo obszaru roboczego, blokując pozyskiwanie dzienników i wykonywanie zapytań z sieci publicznych. Tylko sieci połączone za pomocą łącza prywatnego będą mogły pozyskiwać dzienniki i wykonywać zapytania w tym obszarze roboczym. Dowiedz się więcej w artykule Używanie usługi Azure Private Link do łączenia sieci z usługą Azure Monitor. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 1.1.0 |
| Dyski zarządzane powinny wyłączać dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że dysk zarządzany nie jest uwidoczniony w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie dysków zarządzanych. Dowiedz się więcej na stronie: Ograniczanie dostępu importu/eksportu do dysków zarządzanych. | Audyt; Zaprzeczać; Niepełnosprawny | 2.1.0 |
| Należy włączyć połączenia prywatnego punktu końcowego w usłudze Azure SQL Database | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure SQL Database. | Audyt; Niepełnosprawny | 1.1.0 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MySQL | Połączenia prywatnego punktu końcowego wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, włączając prywatną łączność z usługą Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym na platformie Azure. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Dostęp do sieci publicznej dla usługi Azure Device Update dla kont usługi IoT Hub powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że usługa Azure Device Update dla kont usługi IoT Hub może uzyskiwać dostęp tylko z prywatnego punktu końcowego. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Dostęp do sieci publicznej w usłudze Azure Data Explorer powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure Data Explorer tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Dostęp do sieci publicznej w usłudze Azure Data Factory powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure Data Factory tylko z prywatnego punktu końcowego. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Dostęp do sieci publicznej w usłudze Azure IoT Hub powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure IoT Hub tylko z prywatnego punktu końcowego. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Dostęp do sieci publicznej w usłudze Azure SQL Database powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do usługi Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla usługi Azure File Sync | Wyłączenie publicznego punktu końcowego umożliwia ograniczenie dostępu do zasobu usługi synchronizacji magazynu do żądań kierowanych do zatwierdzonych prywatnych punktów końcowych w sieci organizacji. Nie ma z natury pewności co do zezwalania na żądania do publicznego punktu końcowego, jednak możesz wyłączyć je tak, aby spełniały wymagania zasad prawnych, prawnych lub organizacyjnych. Publiczny punkt końcowy usługi synchronizacji magazynu można wyłączyć, ustawiając wartość incomingTrafficPolicy zasobu na Wartość AllowVirtualNetworksOnly. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla kont usługi Batch | Wyłączenie dostępu do sieci publicznej na koncie usługi Batch zwiększa bezpieczeństwo, zapewniając dostęp do konta usługi Batch tylko z prywatnego punktu końcowego. Dowiedz się więcej na temat wyłączania dostępu do sieci publicznej w sekcji Używanie prywatnych punktów końcowych z kontami usługi Azure Batch. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla rejestrów kontenerów | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że rejestry kontenerów nie są uwidocznione w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie zasobów rejestru kontenerów. Dowiedz się więcej na stronie: Konfigurowanie dostępu do rejestru publicznego na platformie Azure i Konfigurowanie prywatnego punktu końcowego za pomocą usługi Private Link dla usługi ACR. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla usługi IoT Central | Aby zwiększyć bezpieczeństwo usługi IoT Central, upewnij się, że nie jest on udostępniany publicznemu Internetowi i można uzyskać do niego dostęp tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w temacie Tworzenie prywatnego punktu końcowego dla usługi Azure IoT Central. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MariaDB można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MariaDB można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów elastycznych MySQL | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że elastyczne serwery usługi Azure Database for MySQL mogą być dostępne tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Audyt; Zaprzeczać; Niepełnosprawny | 2.3.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for MySQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów elastycznych PostgreSQL | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że elastyczne serwery usługi Azure Database for PostgreSQL mogą być dostępne tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP. | Audyt; Zaprzeczać; Niepełnosprawny | 3.1.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do usługi Azure Database for PostgreSQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp z dowolnej publicznej przestrzeni adresowej poza zakresem adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.1 |
| Przestrzenie nazw usługi Service Bus powinny wyłączyć dostęp do sieci publicznej | Usługa Azure Service Bus powinna mieć wyłączony dostęp do sieci publicznej. Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego można ograniczyć narażenie zasobów przez utworzenie prywatnych punktów końcowych. Dowiedz się więcej na stronie: Zezwalaj na dostęp do przestrzeni nazw usługi Azure Service Bus za pośrednictwem prywatnych punktów końcowych | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.0 |
| Dostęp publiczny do konta magazynu powinien być niedozwolony | Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w usłudze Azure Storage to wygodny sposób udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom danych spowodowanym niepożądanym dostępem anonimowym, firma Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że twój scenariusz tego wymaga. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 3.1.1 |
| Konta magazynowania powinny mieć wyłączony dostęp do sieci publicznej | Aby zwiększyć bezpieczeństwo kont magazynu, upewnij się, że nie są one widoczne dla publicznego Internetu i mogą być dostępne tylko z prywatnego punktu końcowego. Wyłącz właściwość dostępu do sieci publicznej zgodnie z opisem w artykule Dostęp do sieci publicznej konta magazynu. Ta opcja wyłącza dostęp z dowolnej przestrzeni adresów publicznych spoza zakresu adresów IP platformy Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. Zmniejsza to ryzyko wycieku danych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych platformy Azure lub do publicznych zakresów adresów IP internetowych | Audyt; Zaprzeczać; Niepełnosprawny | 1.1.1 |
| Konta magazynu powinny ograniczać dostęp do sieci za pomocą reguł sieci wirtualnej | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej (z wyłączeniem kont magazynu utworzonych przez usługę Databricks) | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Konta magazynowe powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem : Co to jest usługa Azure Private Link? | AuditIfNotExists; Niepełnosprawny | 2.0.0 |
| Konta magazynu powinny używać łącza prywatnego (z wyłączeniem kont magazynu utworzonych przez usługę Databricks) | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem : Co to jest usługa Azure Private Link? | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Opcje sieciowe narzędzia Image Builder maszyny wirtualnej platformy Azure — wdrażanie przy użyciu istniejącej sieci wirtualnej. | Audyt; Niepełnosprawny; Zaprzeczać | 1.1.0 |
| [Wersja zapoznawcza]: Zarządzany moduł HSM usługi Azure Key Vault powinien wyłączyć dostęp do sieci publicznej | Wyłącz dostęp do sieci publicznej dla zarządzanego modułu HSM usługi Azure Key Vault, aby nie był dostępny za pośrednictwem publicznego Internetu. Może to zmniejszyć ryzyko wycieku danych. Dowiedz się więcej na stronie: Zezwalaj zaufanym usługom na dostęp do zarządzanego modułu HSM. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0-preview |
| [Wersja zapoznawcza]: Zarządzany moduł HSM usługi Azure Key Vault powinien używać łącza prywatnego | Usługa Private Link umożliwia łączenie zarządzanego modułu HSM usługi Azure Key Vault z zasobami platformy Azure bez wysyłania ruchu przez publiczny Internet. Usługa Private Link zapewnia ochronę w głębi systemu ochrony przed eksfiltracją danych. Dowiedz się więcej na stronie : Integrowanie zarządzanego modułu HSM z usługą Azure Private Link | Audyt; Niepełnosprawny | 1.0.0-preview |
| [Wersja zapoznawcza]: Magazyny usługi Azure Recovery Services powinny używać linku prywatnego do tworzenia kopii zapasowych | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do magazynów usługi Azure Recovery Services, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej na temat linków prywatnych na stronie: Tworzenie i używanie prywatnych punktów końcowych dla usługi Azure Backup. | Audyt; Niepełnosprawny | 2.0.0-preview |
| [Wersja zapoznawcza]: Magazyny usługi Recovery Services powinny używać łącza prywatnego | Usługa Azure Private Link umożliwia łączenie sieci wirtualnej z usługami platformy Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej platformy Azure. Mapując prywatne punkty końcowe do magazynów usługi Azure Recovery Services, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych dla usługi Azure Site Recovery pod adresem: Włączanie replikacji dla maszyn lokalnych z prywatnymi punktami końcowymi i Włączanie replikacji dla prywatnych punktów końcowych w usłudze Azure Site Recovery. | Audyt; Niepełnosprawny | 1.0.0-preview |
NS-3: Wdrażanie zapory na brzegu sieci przedsiębiorstwa
Aby uzyskać więcej informacji, zobacz Zabezpieczenia sieciowe: NS-3: Wdrażanie zapory na brzegu sieci przedsiębiorstwa.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują złamać dane uwierzytelniające, aby uzyskać dostęp administratora do maszyny. | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
| [Wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonej usługi Azure Firewall | Usługa Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą usługi Azure Firewall lub obsługiwanej zapory nowej generacji | AuditIfNotExists; Niepełnosprawny | 3.0.0-preview |
NS-5: Wdrażanie ochrony przed atakami DDOS
Aby uzyskać więcej informacji, zobacz Zabezpieczenia sieciowe: NS-5: Wdrażanie ochrony przed atakami DDOS.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Usługa Azure DDoS Protection powinna być włączona | Ochrona przed atakami DDoS powinna być włączona dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP. | AuditIfNotExists; Niepełnosprawny | 3.0.1 |
| Sieci wirtualne powinny być chronione przez usługę Azure DDoS Protection | Ochrona sieci wirtualnych przed atakami woluminowymi i protokołami za pomocą usługi Azure DDoS Protection. Aby uzyskać więcej informacji, odwiedź stronę Omówienie usługi Azure DDoS Protection. | Modyfikować; Audyt; Niepełnosprawny | 1.0.1 |
NS-6: Wdrażanie zapory aplikacji internetowej
Aby uzyskać więcej informacji, zobacz Zabezpieczenia sieciowe: NS-6: Wdrażanie zapory aplikacji internetowej.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów wejścia usługi Azure Front Door | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów/regionów, zakresów adresów IP i innych parametrów http za pośrednictwem reguł niestandardowych. | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.2 |
| Zapora aplikacji internetowej (WAF) powinna być włączona dla usługi Application Gateway | Wdróż zaporę aplikacji internetowej platformy Azure przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Zapora aplikacji internetowej (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów/regionów, zakresów adresów IP i innych parametrów http za pośrednictwem reguł niestandardowych. | Audyt; Zaprzeczać; Niepełnosprawny | 2.0.0 |
NS-8: Wykrywanie i wyłączanie niezabezpieczonych usług i protokołów
Aby uzyskać więcej informacji, zobacz Zabezpieczenia sieciowe: NS-8: Wykrywanie i wyłączanie niezabezpieczonych usług i protokołów.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AuditIfNotExists; Niepełnosprawny | 2.2.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Zaktualizuj do najnowszej wersji protokołu TLS dla aplikacji Function, aby skorzystać z poprawek zabezpieczeń, jeśli takie istnieją, oraz/lub nowych funkcjonalności najnowszej wersji. | AuditIfNotExists; Niepełnosprawny | 2.3.0 |
PA-1: Oddzielanie i ograniczanie wysoce uprzywilejowanych/administracyjnych użytkowników
Aby uzyskać więcej informacji, zobacz Privileged Access: PA-1: Separate and limit wysoce uprzywilejowanych/administracyjnych użytkowników.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
| Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Do subskrypcji powinien być przypisany więcej niż jeden właściciel | Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
PA-2: Unikaj stałego dostępu dla kont użytkowników i uprawnień
Aby uzyskać więcej informacji, zobacz Privileged Access: PA-2: Unikaj stałego dostępu dla kont użytkowników i uprawnień.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) do sieci będzie monitorowany przez usługę Azure Security Center zgodnie z zaleceniami | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
PA-4: Regularne przeglądanie i uzgadnianie dostępu użytkowników
Aby uzyskać więcej informacji, zobacz Privileged Access: PA-4: Review and reconcile user access regular (Dostęp uprzywilejowany: PA-4: regularne przeglądanie i uzgadnianie dostępu użytkowników).
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Zablokowane konta z uprawnieniami właściciela do zasobów platformy Azure powinny zostać usunięte | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Zablokowane konta z uprawnieniami do odczytu i zapisu w zasobach platformy Azure powinny zostać usunięte | Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Konta gości z uprawnieniami właściciela do zasobów platformy Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Konta gości z uprawnieniami do odczytu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Konta gości z uprawnieniami do zapisu w zasobach platformy Azure powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
PA-7: Przestrzegaj zasady minimalnej administracji (najmniejszych uprawnień)
Aby uzyskać więcej informacji, zobacz Privileged Access: PA-7: Follow just just enough administration (najmniej privilege) principle (Uprzywilejowany dostęp: PA-7: Postępuj zgodnie z zasadami administrowania (najniższymi uprawnieniami).
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Subskrypcje usługi API Management nie powinny być ograniczone do wszystkich interfejsów API | Subskrypcje usługi API Management powinny być ograniczone do produktu lub pojedynczego interfejsu API zamiast wszystkich interfejsów API, co może spowodować nadmierne narażenie na dane. | Audyt; Niepełnosprawny; Zaprzeczać | 1.1.0 |
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Audyt; Niepełnosprawny | 1.0.1 |
| Usługa Azure Key Vault powinna używać modelu uprawnień RBAC | Włącz model uprawnień RBAC w usłudze Key Vault. Dowiedz się więcej na stronie: Migrowanie z zasad dostępu magazynu do modelu uprawnień kontroli dostępu opartej na rolach na platformie Azure | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.1 |
| Kontrola dostępu oparta na rolach (RBAC) powinna być używana w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj kontroli dostępu opartej na rolach (RBAC), aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Audyt; Niepełnosprawny | 1.1.0 |
PV-2: Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji
Aby uzyskać więcej informacji, zobacz Stan i Zarządzanie lukami w zabezpieczeniach: PV-2: Inspekcja i wymuszanie bezpiecznych konfiguracji.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Nie należy włączać bezpośredniego punktu końcowego zarządzania usługą API Management | Bezpośredni interfejs API REST zarządzania w usłudze Azure API Management pomija mechanizmy kontroli dostępu, autoryzacji i ograniczania dostępu opartej na rolach usługi Azure Resource Manager, co zwiększa lukę w zabezpieczeniach usługi. | Audyt; Niepełnosprawny; Zaprzeczać | 1.0.2 |
| Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists; Niepełnosprawny | 2.0.0 |
| Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Mechanizm CORS (ang. Cross-Origin Resource Sharing) nie powinien zezwalać wszystkim domenom na uzyskanie dostępu do Twojej aplikacji. Zezwalaj tylko wymaganym domenom na interakcję z twoją aplikacją. | AuditIfNotExists; Niepełnosprawny | 2.0.0 |
| Wersja platformy Azure API Management powinna być następująca: stv2 | Wersja platformy obliczeniowej stv1 usługi Azure API Management zostanie wycofana z dnia 31 sierpnia 2024 r., a te wystąpienia powinny zostać zmigrowane na platformę obliczeniową stv2 w celu zapewnienia dalszej obsługi. Dowiedz się więcej na temat wycofywania platformy stv1 usługi API Management — globalna chmura platformy Azure (sierpień 2024 r.) | Audyt; Zaprzeczać; Niepełnosprawny | 1.0.0 |
| Klastry Kubernetes z włączoną usługą Azure Arc powinny mieć zainstalowane rozszerzenie usługi Azure Policy | Rozszerzenie usługi Azure Policy dla usługi Azure Arc zapewnia wymuszanie na dużą skalę i zabezpieczenia w klastrach Kubernetes z obsługą usługi Arc w sposób scentralizowany i spójny. Dowiedz się więcej na stronie Omówienie usługi Azure Policy dla klastrów Kubernetes. | AuditIfNotExists; Niepełnosprawny | 1.1.0 |
| Aby uzyskać najnowsze aktualizacje oprogramowania, należy ponownie utworzyć wystąpienia obliczeniowe usługi Azure Machine Learning | Upewnij się, że wystąpienia obliczeniowe usługi Azure Machine Learning działają w najnowszym dostępnym systemie operacyjnym. Zabezpieczenia są ulepszane, a podatności zmniejszane dzięki zastosowaniu najnowszych poprawek zabezpieczeń. Aby uzyskać więcej informacji, odwiedź stronę Zarządzanie lukami w zabezpieczeniach. | N/a | 1.0.3 |
| Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) powinien być zainstalowany i włączony w klastrach | Dodatek usługi Azure Policy dla usługi Kubernetes Service (AKS) rozszerza usługę Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy (OPA), aby zastosować wymuszania i zabezpieczenia na dużą skalę w klastrach w sposób scentralizowany i spójny. | Audyt; Niepełnosprawny | 1.0.2 |
| Aplikacje funkcji powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AuditIfNotExists; Niepełnosprawny | 1.1.0 |
| Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących na aplikacjach typu Function. Zdalne debugowanie powinno być wyłączone. | AuditIfNotExists; Niepełnosprawny | 2.1.0 |
| Aplikacje funkcji nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji Function. Zezwalaj tylko wymaganym domenom na interakcję z Twoją aplikacją funkcjonalną. | AuditIfNotExists; Niepełnosprawny | 2.1.0 |
| Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | Wymuszanie limitów zasobów procesora CPU i pamięci kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 9.3.0 |
| Kontenery klastra Kubernetes nie powinny współużytkować przestrzeni nazw hostów | Blokuj udostępnianie przestrzeni nazw identyfikatora procesu hosta, przestrzeni nazw IPC hosta i przestrzeni nazw sieci hosta w klastrze Kubernetes. To zalecenie jest zgodne ze standardami zabezpieczeń zasobnika Kubernetes dla przestrzeni nazw hostów i jest częścią ciS 5.2.1, 5.2.2 i 5.2.3, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | Audyt; Zaprzeczać; Niepełnosprawny | 6.0.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | Kontenery powinny używać tylko dozwolonych profilów AppArmor w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 6.2.1 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | Ogranicz możliwości zmniejszenia obszaru ataków kontenerów w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.8 i CIS 5.2.9, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 6.2.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | Użyj obrazów z zaufanych rejestrów, aby zmniejszyć ryzyko narażenia klastra Kubernetes na nieznane luki w zabezpieczeniach, problemy z zabezpieczeniami i złośliwe obrazy. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 9.3.0 |
| Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | Uruchamiaj kontenery z głównym systemem plików tylko do odczytu, aby chronić przed zmianami w czasie wykonywania, a złośliwe pliki binarne są dodawane do ścieżki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 6.3.0 |
| Woluminy typu hostPath w zasobnikach klastra Kubernetes powinny używać tylko dozwolonych ścieżek hosta | Ogranicz instalację woluminu HostPath zasobnika do dozwolonych ścieżek hostów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 6.3.0 |
| Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | Kontroluj identyfikatory użytkowników, grup podstawowych, grup uzupełniających i grup plików, których zasobniki i kontenery mogą używać do uruchamiania w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 6.2.0 |
| Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i listy portów | Ogranicz dostęp zasobnika do sieci hostów i dozwolonych portów hosta w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.4, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes i jest zgodny ze standardami zabezpieczeń zasobników (PSS) dla hostPorts. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | Audyt; Zaprzeczać; Niepełnosprawny | 7.0.0 |
| Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | Ogranicz usługi do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 8.2.0 |
| Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | Nie zezwalaj na tworzenie uprzywilejowanych kontenerów w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.1, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 9.2.0 |
| Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | Wyłącz automatyczne instalowanie poświadczeń interfejsu API, aby zapobiec potencjalnie naruszonemu zasobowi zasobnika uruchamiania poleceń interfejsu API w klastrach Kubernetes. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 4.2.0 |
| Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | Nie zezwalaj kontenerom na uruchamianie z eskalacją uprawnień do katalogu głównego w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.5, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z obsługą usługi Azure Arc. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | Audyt; Zaprzeczać; Niepełnosprawny | 8.0.0 |
| Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | Aby zmniejszyć obszar ataków kontenerów, ogranicz CAP_SYS_ADMIN możliwości systemu Linux. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 5.1.0 |
| Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | Zapobiegaj użyciu domyślnej przestrzeni nazw w klastrach Kubernetes, aby chronić przed nieautoryzowanym dostępem dla typów zasobów ConfigMap, Pod, Secret, Service i ServiceAccount. Aby uzyskać więcej informacji, zobacz Zrozumienie Azure Policy dla klastrów Kubernetes. | audyt; Audyt; zaprzeczać; Zaprzeczać; niepełnosprawny; Niepełnosprawny | 4.2.0 |
PV-4: Przeprowadzanie inspekcji i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych
Aby uzyskać więcej informacji, zobacz Stan i Zarządzanie lukami w zabezpieczeniach: PV-4: Inspekcja i wymuszanie bezpiecznych konfiguracji dla zasobów obliczeniowych.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu dostępne będą zasady dla gości, takie jak "powinna być włączona funkcja Windows Exploit Guard". Dowiedz się więcej na stronie Omówienie konfiguracji maszyny platformy Azure. | AuditIfNotExists; Niepełnosprawny | 1.0.3 |
| Maszyny z systemem Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę Omówienie konfiguracji maszyny platformy Azure. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists; Niepełnosprawny | 2.3.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Maszyny wirtualne platformy Azure w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie Understand Azure Machine Configuration (Omówienie konfiguracji maszyny platformy Azure) | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
| Maszyny z systemem Windows powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń platformy Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę Omówienie konfiguracji maszyny platformy Azure. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych platformy Azure. | AuditIfNotExists; Niepełnosprawny | 2.1.0 |
| [Wersja zapoznawcza]: Serwery usługi Azure Stack HCI powinny mieć spójnie wymuszane zasady kontroli aplikacji | Zastosuj co najmniej podstawowe zasady programu Microsoft WDAC w trybie wymuszanym na wszystkich serwerach usługi Azure Stack HCI. Zastosowane zasady kontroli aplikacji usługi Windows Defender (WDAC) muszą być spójne między serwerami w tym samym klastrze. | Audyt; Niepełnosprawny; AuditIfNotExists | 1.0.0-preview |
| [Wersja zapoznawcza]: Serwery rozwiązania Azure Stack HCI powinny spełniać wymagania zabezpieczonego rdzenia | Upewnij się, że wszystkie serwery azure Stack HCI spełniają wymagania zabezpieczonego rdzenia. Aby włączyć wymagania serwera zabezpieczonego rdzenia: 1. Na stronie Klastry rozwiązania Azure Stack HCI przejdź do centrum administracyjnego systemu Windows i wybierz pozycję Połącz. 2. Przejdź do rozszerzenia Zabezpieczenia i wybierz pozycję Zabezpieczone-core. 3. Wybierz dowolne ustawienie, które nie jest włączone, a następnie kliknij przycisk Włącz. | Audyt; Niepełnosprawny; AuditIfNotExists | 1.0.0-preview |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych z systemem Linux, aby umożliwić usłudze Azure Security Center aktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Linux i zaufanych. | AuditIfNotExists; Niepełnosprawny | Wersja zapoznawcza 6.0.0 |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych zestawów skalowania maszyn wirtualnych z systemem Linux i zaufanych uruchomiń. | AuditIfNotExists; Niepełnosprawny | Wersja zapoznawcza 5.1.0 |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Windows | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Windows i zaufanych. | AuditIfNotExists; Niepełnosprawny | 4.0.0-preview |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Windows | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych, aby umożliwić usłudze Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych zestawów skalowania maszyn wirtualnych z systemem Windows i zaufanych. | AuditIfNotExists; Niepełnosprawny | 3.1.0-preview |
| [Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny używać tylko podpisanych i zaufanych składników rozruchu | Wszystkie składniki rozruchu systemu operacyjnego (moduł ładujący rozruchu, jądro, sterowniki jądra) muszą być podpisane przez zaufanych wydawców. Defender dla Chmury zidentyfikował niezaufane składniki rozruchu systemu operacyjnego na co najmniej jednej maszynie z systemem Linux. Aby chronić maszyny przed potencjalnie złośliwymi składnikami, dodaj je do listy dozwolonych lub usuń zidentyfikowane składniki. | AuditIfNotExists; Niepełnosprawny | 1.0.0-preview |
| [Wersja zapoznawcza]: Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych z systemem Windows | Włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych z systemem Windows, aby ograniczyć ryzyko złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Windows i zaufanych. | Audyt; Niepełnosprawny | 4.0.0-preview |
| [Wersja zapoznawcza]: maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych | Włącz wirtualne urządzenie TPM na obsługiwanych maszynach wirtualnych, aby ułatwić mierzony rozruch i inne funkcje zabezpieczeń systemu operacyjnego, które wymagają modułu TPM. Po włączeniu maszyny vTPM mogą służyć do potwierdzania integralności rozruchu. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z obsługą uruchamiania. | Audyt; Niepełnosprawny | 2.0.0-preview |
PV-5: Przeprowadzanie ocen luk w zabezpieczeniach
Aby uzyskać więcej informacji, zobacz Stan i Zarządzanie lukami w zabezpieczeniach: PV-5: Przeprowadzanie ocen luk w zabezpieczeniach.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. Standardowa warstwa cenowa usługi Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
| Maszyny powinny mieć rozpoznane wyniki wpisów tajnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy zawierają tajne wyniki rozwiązań do skanowania wpisów tajnych na maszynach wirtualnych. | AuditIfNotExists; Niepełnosprawny | 1.0.2 |
| Ocena luk w zabezpieczeniach powinna być włączona w usłudze SQL Managed Instance | Przeprowadź inspekcję każdego wystąpienia zarządzanego SQL, które nie ma włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
| Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL | Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AuditIfNotExists; Niepełnosprawny | 3.0.0 |
PV-6: Szybkie i automatyczne korygowanie luk w zabezpieczeniach
Aby uzyskać więcej informacji, zobacz Stan i Zarządzanie lukami w zabezpieczeniach: PV-6: Szybkie i automatyczne korygowanie luk w zabezpieczeniach.
| Name | Description | Effect(s) | wersja |
|---|---|---|---|
| Obrazy kontenerów rejestru platformy Azure powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez usługę Microsoft Defender Vulnerability Management) | Ocena podatności obrazów kontenerów skanuje rejestr w poszukiwaniu powszechnie znanych podatności (CVE) i generuje szczegółowy raport o podatności dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić pozycję bezpieczeństwa, zapewniając, że obrazy są bezpieczne do użycia przed wdrożeniem. | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
| Obrazy kontenerów działające na platformie Azure powinny mieć usunięte luki w zabezpieczeniach (obsługiwane przez usługę Microsoft Defender Vulnerability Management) | Ocena podatności obrazów kontenerów skanuje rejestr w poszukiwaniu powszechnie znanych podatności (CVE) i generuje szczegółowy raport o podatności dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Usuwanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych zadań. | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
| Maszyny należy skonfigurować do okresowego sprawdzania brakujących aktualizacji systemu | Aby zapewnić automatyczne wyzwalanie okresowych ocen brakujących aktualizacji systemu co 24 godziny, właściwość AssessmentMode powinna być ustawiona na wartość "AutomaticByPlatform". Dowiedz się więcej o właściwości AssessmentMode dla systemu Windows: tryb oceny poprawek systemu Windows dla systemu Linux: tryb oceny poprawek systemu Linux. | Audyt; Zaprzeczać; Niepełnosprawny | 3.9.0 |
| Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. | AuditIfNotExists; Niepełnosprawny | 4.1.0 |
| Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Ocena luk w zabezpieczeniach SQL skanuje bazę danych pod kątem luk w zabezpieczeniach i ujawnia wszelkie odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione poufne dane. Rozwiązanie znalezionych luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń bazy danych. | AuditIfNotExists; Niepełnosprawny | 1.0.0 |
| Aktualizacje systemu powinny być instalowane na maszynach (obsługiwane przez Centrum aktualizacji) | Na maszynach brakuje systemu, zabezpieczeń i aktualizacji krytycznych. Aktualizacje oprogramowania często obejmują krytyczne poprawki do luk w zabezpieczeniach. Takie są często wykorzystywane w atakach złośliwego oprogramowania, dlatego ważne jest, aby oprogramowanie było aktualizowane. Aby zainstalować wszystkie zaległe poprawki i zabezpieczyć maszyny, wykonaj kroki korygowania. | AuditIfNotExists; Niepełnosprawny | 1.0.1 |
Dalsze kroki
- Zapoznaj się z testem porównawczym zabezpieczeń w chmurze firmy Microsoft , aby uzyskać więcej informacji na temat szczegółów kontroli.
- Przypisywanie zasad za pośrednictwem witryny Azure Portal
- Dowiedz się więcej na temat usługi Azure Policy