本文列出了与Microsoft云安全基准 v2(预览版)相关的 Azure Policy 内置策略定义。 基准中的每个控件都映射到一个或多个 Azure Policy 定义。
Azure Policy 中的符合性仅指策略定义本身;这不能确保完全符合控件的所有要求。 符合性标准包括目前任何 Azure Policy 定义未解决的控件。 因此,Azure Policy 中的符合性只部分反映了您的整体符合性状态。
此符合性标准的控件和 Azure Policy 定义之间的关联可能会随时间而变化。
AI-1:确保使用已批准的模型
有关详细信息,请参阅 人工智能安全性:AI-1:确保使用批准的模型。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| [预览]:Azure 机器学习部署应仅使用批准的注册表模型 | 限制注册表模型的部署,以控制组织中使用的外部创建的模型 | 审计;否认;禁用 | 1.0.0-preview |
| [预览]:Azure 机器学习模型注册表部署受到限制,但允许的注册表除外 | 仅在允许的注册表中部署注册表模型,且不受限制。 | n/a | 1.0.0-preview |
AM-2:仅使用已批准的服务
有关详细信息,请参阅 资产管理:AM-2:仅使用已批准的服务。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| Azure API 管理平台版本应为 stv2 | Azure API 管理 stv1 计算平台版本将于 2024 年 8 月 31 日起停用,这些实例应迁移到 stv2 计算平台以获得持续支持。 有关详细信息,请参阅 API 管理 stv1 平台停用 - 全球 Azure 云(2024 年 8 月) | 审计;否认;禁用 | 1.0.0 |
| 存储帐户应迁移到新的 Azure 资源管理器资源 | 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 | 审计;否认;禁用 | 1.0.0 |
| 存储帐户应迁移到新的 Azure 资源管理器资源 | 使用新的 Azure 资源管理器为存储帐户提供安全增强功能,例如:更强大的访问控制 (RBAC)、更好的审核、基于 Azure 资源管理器的部署和监管、对托管标识的访问权限、访问密钥保管库以获取机密、基于 Azure AD 的身份验证以及对标记和资源组的支持,以简化安全管理 | 审计;否认;禁用 | 1.0.0 |
AM-3:确保资产生命周期管理的安全性
有关详细信息,请参阅 资产管理:AM-3:确保资产生命周期管理的安全性。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应禁用未使用的 API 终结点并将其从 Azure API 管理服务中移除 | 作为安全最佳做法,30 天内未收到流量的 API 终结点被视为未使用,并应从 Azure API 管理服务中移除。 保留未使用的 API 终结点可能会给组织带来安全风险。 这些 API 可能本应从 Azure API 管理服务中弃用,但意外保持了活动状态。 此类 API 通常不会受到最新的安全保护。 | AuditIfNotExists;禁用 | 1.0.1 |
BR-1:确保定期自动备份
有关详细信息,请参阅 备份和恢复:BR-1:确保定期自动备份。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists;禁用 | 3.0.0 |
| 应为 Azure Database for MariaDB 启用异地冗余备份 | 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | 审计;禁用 | 1.0.1 |
| 应为 Azure Database for MySQL 启用异地冗余备份 | 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | 审计;禁用 | 1.0.1 |
| 应为 Azure Database for PostgreSQL 启用异地冗余备份 | 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | 审计;禁用 | 1.0.1 |
BR-2:保护备份和恢复数据
有关详细信息,请参阅 备份和恢复:BR-2:保护备份和恢复数据。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应为虚拟机启用 Azure 备份 | 启用 Azure 备份,确保对 Azure 虚拟机提供保护。 Azure 备份是一种安全且经济高效的 Azure 数据保护解决方案。 | AuditIfNotExists;禁用 | 3.0.0 |
| 应为 Azure Database for MariaDB 启用异地冗余备份 | 通过 Azure Database for MariaDB,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | 审计;禁用 | 1.0.1 |
| 应为 Azure Database for MySQL 启用异地冗余备份 | 通过 Azure Database for MySQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | 审计;禁用 | 1.0.1 |
| 应为 Azure Database for PostgreSQL 启用异地冗余备份 | 通过 Azure Database for PostgreSQL,你可以为数据库服务器选择冗余选项。 它可以设置为异地冗余备份存储,其中数据不仅存储在托管服务器的区域内,还可以复制到配对区域,以便在区域发生故障时提供恢复选项。 只能在服务器创建期间为备份配置异地冗余存储。 | 审计;禁用 | 1.0.1 |
| [预览]:恢复服务库必须启用不可变性 | 此策略会审核范围内的恢复服务库是否启用了不可变保管库属性。 有助于防止备份数据在预期过期前被删除。 在 Azure 备份的不可变保管库概念中了解详细信息。 | 审计;禁用 | 1.0.1-preview |
| [预览版]:备份保管库必须启用不可变性 | 此策略会审核范围内的备份保管库是否启用了不可变保管库属性。 有助于防止备份数据在预期过期前被删除。 在 Azure 备份的不可变保管库概念中了解详细信息。 | 审计;禁用 | 1.0.1-preview |
| [预览]:应为备份保管库启用软删除 | 如果为作用域中的备份保管库启用了软删除,则此策略会进行审核。 软删除有助于在删除数据后恢复数据。 在 Azure 备份的增强软删除概述中了解详细信息 | 审计;禁用 | 1.0.0-preview |
DP-1:发现敏感数据
有关详细信息,请参阅 数据保护:DP-1:敏感数据的发现。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应启用 Microsoft Defender for API | Microsoft Defender for API 引入了新的发现、保护、检测,以及用于监视常见基于 API 的攻击和安全性配置错误的响应覆盖。 | AuditIfNotExists;禁用 | 1.0.3 |
DP-2:监视针对敏感数据的异常和威胁
有关详细信息,请参阅 数据保护:DP-2:监视针对敏感数据的异常和威胁。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应启用适用于开源关系数据库的 Azure Defender | 适用于开源关系数据库的 Azure Defender 可以检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 在 Defender for Open-Source 关系数据库概述中详细了解 Azure Defender for 开源关系数据库的功能。 重要提示:启用此计划将产生保护开源关系数据库的费用。 了解安全中心定价页上的定价: 定价 - Microsoft Defender for Cloud | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用 Microsoft Defender for API | Microsoft Defender for API 引入了新的发现、保护、检测,以及用于监视常见基于 API 的攻击和安全性配置错误的响应覆盖。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists;禁用 | 1.0.0 |
DP-3:加密传输中的敏感数据
有关详细信息,请参阅 数据保护:DP-3:加密传输中的敏感数据。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| API 管理 API 应仅使用加密协议 | 为了确保传输中数据的安全性,API 应只能通过加密协议(如 HTTPS 或 WSS)使用。 避免使用不安全的协议,例如 HTTP 或 WS。 | 审计;禁用;否认 | 2.0.2 |
| 应使用最强的 TLS 密码套件配置应用服务环境 | 应用服务环境正常运行所需的两个最小和最强密码套件是:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 和 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 | 审计;禁用 | 1.0.0 |
| 应用服务环境应禁用 TLS 1.0 和 1.1 | TLS 1.0 和 1.1 协议已过时,不支持现代加密算法。 禁用入站 TLS 1.0 和 1.1 流量可帮助保护应用服务环境中的应用。 | 审计;否认;禁用 | 2.0.1 |
| 应用服务环境应启用内部加密 | 如果将 InternalEncryption 设置为 true,会对应用服务环境中前端和辅助角色之间的页面文件、辅助角色磁盘和内部网络流量进行加密。 若要了解详细信息,请参阅 应用服务环境的自定义配置设置。 | 审计;禁用 | 1.0.1 |
| 应用服务应用槽应启用端到端加密 | 启用端到端加密可确保 App Service 前端与负责运行应用程序负载的工作器之间的前端内部集群流量得到加密。 | 审计;否认;禁用 | 1.0.0 |
| 应用服务应用槽应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists;禁用 | 1.2.0 |
| 应用服务应用应启用端到端加密 | 启用端到端加密可确保 App Service 前端与负责运行应用程序负载的工作器之间的前端内部集群流量得到加密。 | 审计;否认;禁用 | 1.0.0 |
| 只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审计;禁用;否认 | 4.0.0 |
| 应用服务应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists;禁用 | 3.0.0 |
| 应用服务应用应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists;禁用 | 2.2.0 |
| Azure Batch 池应启用磁盘加密 | 启用 Azure Batch 磁盘加密可确保始终在 Azure Batch 计算节点上对数据进行静态加密。 在 创建启用了磁盘加密的池中创建池中了解有关磁盘加密的详细信息。 | 审计;禁用;否认 | 1.0.0 |
| Azure Front Door 标准版和高级版应运行最低 TLS 版本 1.2 | 将最低 TLS 版本设置为 1.2 可确保使用 TLS 1.2 或更高版本从客户端访问自定义域,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们很弱,不支持新式加密算法。 | 审计;否认;禁用 | 1.0.0 |
| Azure HDInsight 群集应使用传输中加密来加密 Azure HDInsight 群集节点之间的通信 | 在 Azure HDInsight 群集节点之间的传输过程中,数据可能会被篡改。 启用传输中加密可解决传输过程中的滥用和篡改问题。 | 审计;否认;禁用 | 1.0.0 |
| Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本 | 将 TLS 版本设置为 1.2 或更高版本,可以确保只能从使用 TLS 1.2 或更高版本的客户端访问 Azure SQL 数据库,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 | 审计;禁用;否认 | 2.0.0 |
| 机器人服务终结点应该是有效的 HTTPS URI | 在传输过程中,数据可能会被篡改。 存在用于解决滥用和篡改问题的加密的协议。 若要确保机器人仅通过加密通道进行通信,请将终结点设置为有效的 HTTPS URI。 这可确保 HTTPS 协议用于加密传输中的数据,并且通常是符合法规或行业标准的要求。 请访问: Bot Framework 安全准则。 | 审计;审计;否认;否认;禁用;禁用 | 1.1.0 |
| 应为 MySQL 数据库服务器启用“强制 SSL 连接” | Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 | 审计;禁用 | 1.0.1 |
| 应为 PostgreSQL 数据库服务器启用“强制 SSL 连接” | Azure Database for MySQL 支持使用安全套接字层 (SSL) 将 Azure Database for MySQL 服务器连接到客户端应用程序。 通过在数据库服务器与客户端应用程序之间强制实施 SSL 连接,可以加密服务器与应用程序之间的数据流,有助于防止“中间人”攻击。 此配置强制始终启用 SSL 以访问数据库服务器。 | 审计;禁用 | 1.0.1 |
| 函数应用服务插槽应启用端到端加密 | 启用端到端加密可确保 App Service 前端与负责运行应用程序负载的工作器之间的前端内部集群流量得到加密。 | 审计;否认;禁用 | 1.1.0 |
| 函数应用槽应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists;禁用 | 1.3.0 |
| 函数应用应启用端到端加密 | 启用端到端加密可确保 App Service 前端与负责运行应用程序负载的工作器之间的前端内部集群流量得到加密。 | 审计;否认;禁用 | 1.1.0 |
| 只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审计;禁用;否认 | 5.1.0 |
| 函数应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists;禁用 | 3.1.0 |
| 函数应用应使用最新 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists;禁用 | 2.3.0 |
| Kubernetes 群集应只可通过 HTTPS 进行访问 | 使用 HTTPS 可确保执行身份验证,并保护传输中的数据不受网络层窃听攻击威胁。 此功能目前已面向 Kubernetes 服务 (AKS) 正式发布,并面向已启用 Azure Arc 的 Kubernetes 提供预览版。 有关详细信息,请访问 了解适用于 Kubernetes 群集的 Azure Policy | 审计;审计;否认;否认;禁用;禁用 | 8.2.0 |
| 应仅启用与 Azure Redis 缓存的安全连接 | 审核是否仅启用通过 SSL 来与 Azure Redis 缓存建立连接。 使用安全连接可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听攻击和会话劫持等网络层攻击 | 审计;否认;禁用 | 1.0.0 |
| PostgreSQL 灵活服务器应运行 TLS 版本 1.2 或更高版本 | 此策略有助于审核环境中运行低于 1.2 的 TLS 版本的任何 PostgreSQL 灵活服务器。 | AuditIfNotExists;禁用 | 1.1.0 |
| SQL 托管实例的最低 TLS 版本应为 1.2 | 将最低 TLS 版本设置为 1.2 可以确保只能从使用 TLS 1.2 的客户端访问 SQL 托管实例,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 | 审计;禁用 | 1.0.1 |
| 应启用安全传输到存储帐户 | 审核存储帐户中安全传输的要求。 安全传输选项会强制存储帐户仅接受来自安全连接 (HTTPS) 的请求。 使用 HTTPS 可确保服务器和服务之间的身份验证并保护传输中的数据免受中间人攻击、窃听和会话劫持等网络层攻击 | 审计;否认;禁用 | 2.0.0 |
| 存储帐户应具有指定的最低 TLS 版本 | 为客户端应用程序和存储帐户之间的安全通信配置最低 TLS 版本。 为最大程度降低安全风险,建议的最低 TLS 版本为最新发布的版本,目前为 TLS 1.2。 | 审计;否认;禁用 | 1.0.0 |
| 应将 Windows 计算机配置为使用安全通信协议 | 为了保护通过 Internet 进行通信的信息的隐私,计算机应使用最新版本的行业标准加密协议,即传输层安全性 (TLS)。 TLS 对计算机之间的连接进行加密来保护网络上的通信。 | AuditIfNotExists;禁用 | 4.1.1 |
| [预览版]:主机和 VM 网络应在 Azure Stack HCI 系统上受保护 | 保护 Azure Stack HCI 主机网络和虚拟机网络连接上的数据。 | 审计;禁用;AuditIfNotExists | 1.0.0-preview |
DP-4:默认启用静态数据加密
有关详细信息,请参阅 数据保护:DP-4:默认启用静态数据加密。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应为 MySQL 服务器预配 Microsoft Entra 管理员 | 对 MySQL 服务器的 Microsoft Entra 管理员预配进行审核来启用 Microsoft Entra 身份验证。 使用 Microsoft Entra 身份验证可简化权限管理,还可集中进行数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists;禁用 | 1.1.1 |
| 自动化帐户变量应加密 | 存储敏感数据时,请务必启用自动化帐户变量资产加密 | 审计;否认;禁用 | 1.1.0 |
| Azure Data Box 作业应为设备上静态数据启用双重加密 | 为设备上的静态数据启用第二层基于软件的加密。 设备已通过用于静态数据的高级加密标准 256 位加密受到保护。 此选项将添加第二层数据加密。 | 审计;否认;禁用 | 1.0.0 |
| Azure Edge 硬件中心设备应启用双重加密支持 | 确保从 Azure Edge 硬件中心订购的设备启用了双重加密支持,以保护设备上的静态数据。 此选项将添加第二层数据加密。 | 审计;否认;禁用 | 2.0.0 |
| Azure HDInsight 群集应使用主机加密来加密静态数据 | 启用主机加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用主机加密时,存储在 VM 主机上的数据将静态加密,且已加密的数据将流向存储服务。 | 审计;否认;禁用 | 1.0.0 |
| 应创建启用了基础结构加密(双重加密)的 Azure Monitor 日志群集 | 若要确保使用两种不同的加密算法和两个不同的密钥在服务级别和基础结构级别启用安全数据加密,请使用 Azure Monitor 专用群集。 在区域支持时,默认情况下会启用此选项,请参阅 Azure Monitor 客户管理的密钥。 | 审计;审计;否认;否认;禁用;禁用 | 1.1.0 |
| Azure MySQL 灵活服务器应启用仅 Microsoft Entra 身份验证 | 通过禁用本地身份验证方法并仅允许 Microsoft Entra 身份验证,可确保 Azure MySQL 灵活服务器只能由 Microsoft Entra 标识访问,从而提高安全性。 | AuditIfNotExists;禁用 | 1.0.1 |
| Azure NetApp 文件 SMB 卷应使用 SMB3 加密 | 禁止创建没有 SMB3 加密的 SMB 卷,以确保数据完整性和数据隐私。 | 审计;否认;禁用 | 1.0.0 |
| NFSv4.1 类型的 Azure NetApp 文件卷应使用 Kerberos 数据加密 | 仅允许使用 Kerberos 隐私 (5p) 安全模式来确保数据已加密。 | 审计;否认;禁用 | 1.0.0 |
| Azure Stack Edge 设备应使用双重加密 | 若要保护设备上的静态数据,请确保数据经过双重加密,控制对数据的访问,一旦停用设备,数据就会安全地从数据磁盘上擦除。 双重加密是使用两层加密:BitLocker XTS-AES 256 位加密的数据卷和硬盘驱动器的内置加密。 有关详细信息,请参阅特定 Stack Edge 设备的安全概述文档。 | 审计;审计;否认;否认;禁用;禁用 | 1.1.0 |
| 应为 Azure 数据资源管理器启用磁盘加密 | 启用磁盘加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 | 审计;否认;禁用 | 2.0.0 |
| 应为 Azure 数据资源管理器启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | 审计;否认;禁用 | 2.0.0 |
| 事件中心命名空间应启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | 审计;否认;禁用 | 1.0.0 |
| 应为 Azure Database for MySQL 服务器启用基础结构加密 | 为 Azure Database for MySQL 服务器启用基础结构加密,以确保数据安全。 启用基础结构加密后,使用符合 FIPS 140-2 的Microsoft托管密钥对静态数据进行两次加密。 | 审计;否认;禁用 | 1.0.0 |
| 应为 Azure Database for PostgreSQL 服务器启用基础结构加密 | 为 Azure Database for PostgreSQL 服务器启用基础结构加密,以确保数据安全。 启用基础结构加密后,使用符合 FIPS 140-2 的 Microsoft 托管密钥对静态数据进行两次加密 | 审计;否认;禁用 | 1.0.0 |
| Linux 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost。 | 尽管虚拟机的 OS 和数据磁盘默认使用平台管理的密钥进行静态加密,但资源磁盘(临时磁盘)、数据缓存以及计算资源和存储资源之间流动的数据不加密。 请使用 Azure 磁盘加密或 EncryptionAtHost 进行修正。 访问托管磁盘加密选项概述,以比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 “了解 Azure 计算机配置”。 | AuditIfNotExists;禁用 | 1.2.1 |
| 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 | 对安全性高度敏感的客户如果担心出现与任何特定加密算法、实现或密钥泄露相关的风险,可以选择在使用平台管理的加密密钥的基础结构层上使用其他加密算法/模式的额外加密层。 需要提供磁盘加密集才能使用双重加密。 在 Azure 托管磁盘的服务器端加密中了解详细信息。 | 审计;否认;禁用 | 1.0.0 |
| 服务总线命名空间应启用双重加密 | 启用双重加密有助于保护数据,使组织能够信守在安全性与合规性方面作出的承诺。 启用双重加密后,将使用两种不同的加密算法和两个不同的密钥对存储帐户中的数据进行两次加密,一次在服务级别,一次在基础结构级别。 | 审计;否认;禁用 | 1.0.0 |
| Service Fabric 群集应将 ClusterProtectionLevel 属性设置为 EncryptAndSign | Service Fabric 使用主要群集证书为节点之间的通信提供三个保护级别(None、Sign 和 EncryptAndSign)。 设置保护级别以确保所有节点到节点消息均已进行加密和数字签名 | 审计;否认;禁用 | 1.1.0 |
| 存储帐户应具有基础结构加密 | 启用基础结构加密,以便增强数据安全。 启用基础结构加密后,存储帐户中的数据将加密两次。 | 审计;否认;禁用 | 1.0.0 |
| 应在主机处加密 Azure Kubernetes 服务群集中代理节点池的临时磁盘和缓存 | 为了增强数据安全性,应对存储在 Azure Kubernetes 服务节点 VM 的虚拟机 (VM) 主机上的数据进行静态加密。 这是许多法规和行业合规性标准中的常见要求。 | 审计;否认;禁用 | 1.0.1 |
| 必须为 Arc SQL 托管实例启用透明数据加密。 | 在已启用 Azure Arc 的 SQL 托管实例上启用透明数据加密(TDE)。 有关详细信息,请在 Azure Arc 启用的 SQL 托管实例中手动加密使用透明数据加密的数据库。 | 审计;禁用 | 1.0.0 |
| 应在 SQL 数据库上启用透明数据加密 | 应启用透明数据加密以保护静态数据并满足符合性要求 | AuditIfNotExists;禁用 | 2.0.0 |
| 虚拟机和虚拟机规模集应启用主机中加密 | 使用主机加密可对虚拟机和虚拟机规模集数据进行端到端加密。 主机中加密可对临时磁盘和 OS/数据磁盘缓存实现静态加密。 启用主机中加密后,将使用平台管理的密钥对临时 OS 磁盘进行加密。 OS/数据磁盘缓存使用客户管理的密钥或平台管理的密钥进行静态加密,具体取决于在磁盘中选择的加密类型。 在 主机使用加密启用端到端加密时了解详细信息。 | 审计;否认;禁用 | 1.0.0 |
| Windows 虚拟机应启用 Azure 磁盘加密或 EncryptionAtHost。 | 尽管虚拟机的 OS 和数据磁盘默认使用平台管理的密钥进行静态加密,但资源磁盘(临时磁盘)、数据缓存以及计算资源和存储资源之间流动的数据不加密。 请使用 Azure 磁盘加密或 EncryptionAtHost 进行修正。 访问托管磁盘加密选项概述,以比较加密产品/服务。 此策略需要将两个先决条件部署到策略分配范围。 有关详细信息,请访问 “了解 Azure 计算机配置”。 | AuditIfNotExists;禁用 | 1.1.1 |
DP-5:根据需要在静态加密中使用客户管理的密钥选项
有关详细信息,请参阅 数据保护:DP-5:根据需要在静态数据加密中使用客户管理的密钥选项。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| Azure AI 服务资源应使用客户管理的密钥 (CMK) 加密静态数据 | 使用客户管理的密钥加密静态数据可以更好地控制密钥生命周期,包括轮换和管理。 对于需要满足相关合规性要求的组织而言尤其如此。 默认情况下不会对此进行评估,并且只会根据合规性或限制性策略的要求应用此建议。 如果未启用,将使用平台管理的密钥来加密数据。 为实现此目的,请更新安全策略中适用范围的“效果”参数。 | 审计;否认;禁用 | 2.2.0 |
| Azure API for FHIR 应使用客户管理的密钥来加密静态数据 | 当这是法规或合规性要求时,使用客户管理的密钥来控制存储在 Azure API for FHIR 中的数据的静态加密。 客户管理的密钥还可以通过在使用服务管理的密钥完成的默认密钥的基础上添加第二层加密来提供双重加密。 | 审计;审计;禁用;禁用 | 1.1.0 |
| Azure 自动化帐户应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure 自动化帐户的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 在 Azure 自动化中加密安全资产方面了解详细信息。 | 审计;否认;禁用 | 1.0.0 |
| Azure Batch 帐户应使用客户管理的密钥来加密数据 | 使用客户管理的密钥来管理 Batch 帐户数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 在 Batch 帐户数据加密中了解详细信息。 | 审计;否认;禁用 | 1.0.1 |
| Azure Cache for Redis Enterprise 应使用客户管理的密钥来加密磁盘数据 | 使用客户管理的密钥 (CMK) 来管理磁盘上数据的静态加密。 默认情况下,客户数据是使用平台管理的密钥 (PMK) 进行加密的,但为了满足法规合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 在 Azure Redis 缓存中配置磁盘加密的详细信息。 | 审计;否认;禁用 | 1.0.0 |
| Azure 容器实例容器组应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护容器。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | 审计;禁用;否认 | 1.0.0 |
| Azure Cosmos DB 帐户应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure Cosmos DB 的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 在 “配置 Customer-Managed 密钥”中了解详细信息。 | 审计;审计;否认;否认;禁用;禁用 | 1.1.0 |
| Azure Data Box 作业应使用客户管理的密钥加密设备解锁密码 | 使用客户管理的密钥控制 Azure Data Box 的设备解锁密码的加密。 客户管理的密钥还有助于通过 Data Box 服务管理对设备解锁密码的访问,以便以自动方式准备设备和复制数据。 设备本身的数据已使用高级加密标准 256 位加密进行静态加密,并且设备解锁密码默认使用 Microsoft 托管密钥进行加密。 | 审计;否认;禁用 | 1.0.0 |
| Azure 数据资源管理器静态加密应使用客户管理的密钥 | 对 Azure 数据资源管理器群集使用客户管理的密钥启用静态加密,可提供针对静态加密所使用密钥的额外控制。 此功能通常适用于具有特殊合规性要求并且需要使用 Key Vault 管理密钥的客户。 | 审计;否认;禁用 | 1.0.0 |
| Azure Databricks 工作区应该是高级 SKU,支持专用链接、客户管理的密钥加密等功能 | 仅允许具有你的组织可以部署的高级 SKU 的 Databricks 工作区来支持专用链接、客户管理的密钥加密等功能。 有关详细信息,请参阅: 配置与 Azure Databricks 的后端专用连接。 | 审计;否认;禁用 | 1.0.1 |
| Azure 设备更新帐户应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥在 Azure 设备更新中静态数据加密增加了默认服务管理的密钥之上的第二层加密,使客户能够控制密钥、自定义轮换策略以及通过密钥访问控制管理对数据的访问。 有关详细信息,请查看:适用于 IoT 中心的设备更新的数据加密。 | 审计;否认;禁用 | 1.0.0 |
| Azure HDInsight 群集应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来管理 Azure HDInsight 群集的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 在 双重加密中了解静态数据的详细信息。 | 审计;否认;禁用 | 1.0.1 |
| Azure Health Bots 应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥(CMK)管理运行状况机器人数据的静态加密。 默认情况下,数据使用服务管理的密钥进行静态加密,但通常需要 CMK 来满足法规合规性标准。 通过 CMK,可以使用你创建的和拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 有关详细信息,请参阅在 医疗保健代理服务中配置客户托管密钥进行数据加密 | 审计;禁用 | 1.0.0 |
| 应使用客户管理的密钥对 Azure 机器学习工作区进行加密 | 使用客户管理的密钥管理 Azure 机器学习工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 在 使用 Azure 资源管理器模板创建工作区时了解详细信息。 | 审计;否认;禁用 | 1.1.0 |
| 应使用客户管理的密钥对 Azure 机器学习工作区进行加密 | 使用客户管理的密钥管理 Azure 机器学习工作区数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 在 使用 Azure 资源管理器模板创建工作区时了解详细信息。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应使用客户管理的密钥对 Azure Monitor 日志群集进行加密 | 创建 Azure Monitor 日志群集并使用客户管理的密钥进行加密。 默认情况下,使用服务管理的密钥对日志数据进行加密,但为了满足法规合规性,通常需要使用客户管理的密钥。 Azure Monitor 中的客户管理的密钥可让你更好地控制对数据的访问,请参阅 在 Azure Monitor 中配置客户管理的密钥。 | 审计;审计;否认;否认;禁用;禁用 | 1.1.0 |
| Azure 流分析作业应使用客户管理的密钥来加密数据 | 当你想要将流分析作业的任何元数据和专用数据资产安全地存储在存储帐户中时,请使用客户管理的密钥。 这样就可以完全控制流分析数据的加密方式。 | 审计;审计;否认;否认;禁用;禁用 | 1.1.0 |
| Azure Synapse 工作区应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来控制对 Azure Synapse 工作区中存储的数据的静态加密。 客户管理的密钥提供双重加密,方法是在使用服务托管密钥完成的默认加密层上添加另一层加密。 | 审计;否认;禁用 | 1.0.0 |
| 应使用客户管理的密钥对 Azure 数据工厂进行加密 | 使用客户管理的密钥来管理 Azure 数据工厂的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 有关详细信息,请使用 客户管理的密钥加密 Azure 数据工厂。 | 审计;否认;禁用 | 1.0.1 |
| Azure 负载测试资源应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥(CMK)管理 Azure 负载测试资源的静态加密。 默认情况下,encryptio 是使用服务托管密钥完成的,客户管理的密钥允许使用你创建的和拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 有关详细信息,请参阅使用 Azure Key Vault 为 Azure 负载测试配置客户管理的密钥。 | 审计;否认;禁用 | 1.0.0 |
| 机器人服务应使用客户管理的密钥进行加密 | Azure 机器人服务会自动加密资源,以保护数据,并满足组织安全性和合规性承诺。 默认情况下,使用Microsoft管理的加密密钥。 为了更灵活地管理密钥或控制对订阅的访问,请选择客户管理的密钥,也称为自带密钥(BYOK)。 详细了解 Azure 机器人服务加密: 用于静态数据的 Azure AI 机器人服务加密。 | 审计;审计;否认;否认;禁用;禁用 | 1.1.0 |
| Azure Kubernetes 服务群集中的操作系统和数据磁盘都应使用客户托管的密钥进行加密 | 使用客户管理的密钥加密 OS 和数据磁盘可以更好地控制密钥管理并提高密钥管理的灵活性。 这是许多法规和行业合规性标准中的常见要求。 | 审计;否认;禁用 | 1.0.1 |
| 应使用客户管理的密钥对容器注册表进行加密 | 使用客户管理的密钥来管理注册表内容的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 在 Azure 容器注册表的Customer-Managed 密钥中了解详细信息。 | 审计;否认;禁用 | 1.1.2 |
| 客户管理的密钥加密必须用作 Arc SQL 托管实例的 CMK 加密的一部分。 | 作为 CMK 加密的一部分,必须使用客户管理的密钥加密。 有关详细信息,请在 Azure Arc 启用的 SQL 托管实例中手动加密使用透明数据加密的数据库。 | 审计;禁用 | 1.0.0 |
| DICOM 服务应使用客户管理的密钥来加密静态数据 | 当这是法规或合规性要求时,使用客户管理的密钥来控制存储在 Azure Health Data Services DICOM 服务中的数据的静态加密。 客户管理的密钥还可以通过在使用服务管理的密钥完成的默认密钥的基础上添加第二层加密来提供双重加密。 | 审计;禁用 | 1.0.0 |
| ElasticSan 卷组应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥管理 VolumeGroup 的静态加密。 默认情况下,客户数据使用平台管理的密钥进行加密,但通常需要 CMK 来满足法规合规性标准。 通过客户管理的密钥,可以使用由你创建和拥有的 Azure Key Vault 密钥(包括轮换和管理)对数据进行加密。 | 审计;禁用 | 1.0.0 |
| 事件中心命名空间应使用客户管理的密钥进行加密 | Azure 事件中心支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对密钥的访问权限,事件中心将使用密钥加密命名空间中的数据。 请注意,事件中心仅支持使用客户管理的密钥对专用群集中的命名空间进行加密。 | 审计;禁用 | 1.0.0 |
| FHIR 服务应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥来控制 Azure Health Data Services FHIR 服务中存储的数据的静态加密(如果这是法规或合规性要求)。 客户管理的密钥还可以通过在使用服务管理的密钥完成的默认密钥的基础上添加第二层加密来提供双重加密。 | 审计;禁用 | 1.0.0 |
| Fluid Relay 应使用客户管理的密钥来加密静态数据 | 使用客户管理的密钥管理 Fluid Relay 服务器的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足监管合规标准,通常需要使用 CMK。 通过客户管理的密钥,可以使用由你创建和拥有的 Azure Key Vault 密钥(包括轮换和管理)对数据进行加密。 在 Azure Fluid Relay 加密的客户管理的密钥中了解详细信息。 | 审计;禁用 | 1.0.0 |
| HPC 缓存帐户应使用客户管理的密钥进行加密 | 使用客户管理的密钥来管理 Azure HPC 缓存的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | 审计;禁用;否认 | 2.0.0 |
| 应使用客户管理的密钥对逻辑应用集成服务环境进行加密 | 部署到 Integration Service Environment,以使用客户管理的密钥管理逻辑应用数据的静态加密。 默认情况下,使用服务管理的密钥对客户数据进行加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | 审计;否认;禁用 | 1.0.0 |
| 应使用平台管理的密钥和客户管理的密钥双重加密托管磁盘 | 对安全性高度敏感的客户如果担心出现与任何特定加密算法、实现或密钥泄露相关的风险,可以选择在使用平台管理的加密密钥的基础结构层上使用其他加密算法/模式的额外加密层。 需要提供磁盘加密集才能使用双重加密。 在 Azure 托管磁盘的服务器端加密中了解详细信息。 | 审计;否认;禁用 | 1.0.0 |
| 托管磁盘应使用一组特定的磁盘加密集来进行客户管理的密钥加密 | 要求对托管磁盘使用一组特定的磁盘加密集可以控制用于静态加密的密钥。 可以选择允许的加密集,所有其他加密集在附加到磁盘时将被拒绝。 在 Azure 托管磁盘的服务器端加密中了解详细信息。 | 审计;否认;禁用 | 2.0.0 |
| MySQL 服务器应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥来管理 MySQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | AuditIfNotExists;禁用 | 1.0.4 |
| 应使用客户管理的密钥来加密 OS 和数据磁盘 | 使用客户管理的密钥来管理托管磁盘内容的静态加密。 默认情况下,使用平台管理的密钥对数据进行静态加密,但为了满足合规性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 在 Azure 托管磁盘的服务器端加密中了解详细信息。 | 审计;否认;禁用 | 3.0.0 |
| PostgreSQL 灵活服务器应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥来管理 PostgreSQL 灵活服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | 审计;否认;禁用 | 1.1.0 |
| PostgreSQL 服务器应使用客户管理的密钥进行静态数据加密 | 使用客户管理的密钥来管理 PostgreSQL 服务器的静态加密。 默认情况下,使用服务管理的密钥对数据进行静态加密,但为了满足法规符合性标准,通常需要使用客户管理的密钥。 客户管理的密钥允许使用由你创建并拥有的 Azure Key Vault 密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 | AuditIfNotExists;禁用 | 1.0.4 |
| 队列存储应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护队列存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | 审计;否认;禁用 | 1.0.0 |
| SQL 托管实例应使用客户管理的密钥进行静态数据加密 | 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 | 审计;否认;禁用 | 2.0.0 |
| SQL Server 应使用客户管理的密钥进行静态数据加密 | 使用你自己的密钥实现透明数据加密 (TDE) 可增加透明度和对 TDE 保护器的控制,增强由 HSM 提供支持的外部服务的安全性,并促进职责划分。 此建议适用于具有相关合规性要求的组织。 | 审计;否认;禁用 | 2.0.1 |
| 服务总线高级命名空间应使用客户管理的密钥进行加密 | Azure 服务总线支持通过 Microsoft 管理的密钥(默认)或客户管理的密钥来加密静态数据。 如果选择使用客户管理的密钥加密数据,则可分配、轮换、禁用和撤销对服务总线将用于加密命名空间中的数据的密钥的访问权限。 请注意,服务总线仅支持使用客户管理的密钥对高级命名空间进行加密。 | 审计;禁用 | 1.0.0 |
| 存储帐户加密范围应使用客户管理的密钥对静态数据进行加密 | 使用客户管理的密钥来管理存储帐户加密范围的静态加密。 客户管理的密钥允许使用由你创建并拥有的 Azure 密钥保管库密钥对数据进行加密。 你可以完全控制并负责关键生命周期,包括轮换和管理。 详细了解 Blob 存储的加密范围中的存储帐户加密范围。 | 审计;否认;禁用 | 1.0.0 |
| 存储帐户加密范围应对静态数据使用双重加密 | 为存储帐户加密范围的静态加密启用基础结构加密,以增加安全性。 基础结构加密可确保你的数据加密两次。 | 审计;否认;禁用 | 1.0.0 |
| 存储帐户应使用客户管理的密钥进行加密 | 使用由客户管理的密钥,更加灵活地保护您的 blob 和文件存储帐户。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | 审计;禁用 | 1.0.3 |
| 表存储应使用客户管理的密钥进行加密 | 使用客户管理的密钥更灵活地保护表存储。 指定客户托管密钥时,该密钥用于保护和控制对数据加密密钥的访问。 使用客户管理的密钥可提供附加功能来控制密钥加密密钥的轮换或以加密方式擦除数据。 | 审计;否认;禁用 | 1.0.0 |
| [已弃用]:SIM 组应使用客户管理的密钥来加密静态数据 | 此策略已弃用,因为 Microsoft.MobileNetwork 资源提供程序已解除授权,无需更换。 建议从计划中删除此策略的所有分配及其所有引用。 详细了解 aka.ms/policydefdeprecation 弃用策略定义。 | 审计;否认;禁用 | 1.1.0-已弃用 |
| [预览版]:Azure Stack HCI 系统应具有加密卷 | 使用 BitLocker 加密 Azure Stack HCI 系统上的 OS 和数据卷。 | 审计;禁用;AuditIfNotExists | 1.0.0-preview |
DP-6:使用安全密钥管理过程
有关详细信息,请参阅 数据保护:DP-6:使用安全密钥管理过程。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| API 管理机密命名值应存储在 Azure Key Vault 中 | 命名值是每个 API 管理服务中名称/值对的集合。 机密值可以存储为 API 管理中的加密文本(自定义机密),也可以通过引用 Azure 密钥保管库中的机密进行存储。 要提高 API 管理和机密的安全性,请从 Azure Key Vault 引用机密命名值。 Azure 密钥保管库支持精细的访问管理和机密轮换策略。 | 审计;禁用;否认 | 1.0.2 |
| Azure Cosmos DB 帐户不应超过自上次重新生成帐户密钥以来允许的最大天数。 | 在指定的时间内重新生成密钥,以使数据受到更多保护。 | 审计;禁用 | 1.0.0 |
| Key Vault 密钥应具有到期日期 | 应为加密密钥定义非永久性到期日期。 密钥永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为加密密钥设置到期日期。 | 审计;否认;禁用 | 1.0.2 |
| Key Vault 机密应具有到期日期 | 应为机密定义非永久性到期日期。 机密永久有效会导致潜在攻击者有更多时间来破解密钥。 建议的安全做法是为机密设置到期日期。 | 审计;否认;禁用 | 1.0.2 |
| 密钥应具有轮换策略,确保在创建后的指定天数内安排其轮换。 | 指定密钥创建之后、必须进行轮换之前的最大天数,从而管理组织的合规性要求。 | 审计;禁用 | 1.0.0 |
| 密钥应具有指定的最长有效期 | 通过指定密钥在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | 审计;否认;禁用 | 1.0.1 |
| 密钥的已生效时间不应超过指定的天数 | 指定密钥应有效的天数。 长时间使用的密钥会增加攻击者破解密钥的可能性。 良好的安全做法是确保密钥有效期不超过两年。 | 审计;否认;禁用 | 1.0.1 |
| 机密的剩余有效期应超过指定的天数 | 如果机密临近到期,组织延迟轮换机密可能会导致服务中断。 应在密钥到期前指定的天数轮换机密,以提供足够的时间来应对故障。 | 审计;否认;禁用 | 1.0.1 |
| 机密应具有指定的最长有效期 | 通过指定机密在密钥保管库中的最长有效期(以天为单位),管理组织的合规性要求。 | 审计;否认;禁用 | 1.0.1 |
| 机密的已生效时间不应超过指定的天数 | 如果创建了机密并在之后设置了有效日期,必须确保机密的已生效时间不超过指定的时间。 | 审计;否认;禁用 | 1.0.1 |
| 存储帐户密钥不应过期 | 当设置密钥过期策略时,请确保用户存储帐户密钥未过期,以便在密钥过期时采取措施改进帐户密钥的安全性。 | 审计;否认;禁用 | 3.0.0 |
DP-7:使用安全证书管理过程
有关详细信息,请参阅 数据保护:DP-7:使用安全证书管理过程。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 证书应具有指定的最长有效期 | 通过指定证书在密钥保管库中的最长有效时间,管理组织的符合性要求。 | 审计;审计;否认;否认;禁用;禁用 | 2.2.1 |
| 证书应具有指定的最长有效期 | 通过指定证书在密钥保管库中的最长有效时间,管理组织的符合性要求。 | 审计;审计;否认;否认;禁用;禁用 | 2.2.1 |
| 证书在指定的天数内不应过期 | 管理将在指定天数内到期的证书,以确保组织有足够的时间在到期前对证书进行轮换。 | 审计;审计;否认;否认;禁用;禁用 | 2.1.1 |
DP-8:确保密钥和证书存储库的安全性
有关详细信息,请参阅 数据保护:DP-8:确保密钥和证书存储库的安全性。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists;禁用 | 1.0.3 |
| Azure Key Vault 应启用防火墙或禁用公用网络访问 | 启用密钥保管库防火墙,以便默认情况下无法访问密钥保管库,或者禁用密钥保管库的公共网络访问,以便无法通过公共 Internet 访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 有关详细信息,请查看:Azure Key Vault 的网络安全性,并将 Key Vault 与 Azure 专用链接集成 | 审计;否认;禁用 | 3.3.0 |
| Azure 密钥保管库应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 详细了解专用链接: 将 Key Vault 与 Azure 专用链接集成。 | 审计;否认;禁用 | 1.2.1 |
| 密钥保管库应启用删除保护 | 恶意删除密钥保管库可能会导致永久丢失数据。 可以通过启用清除保护和软删除来防止永久数据丢失。 清除保护通过强制实施软删除密钥保管库的强制保留期来保护你免受内部攻击。 你的组织内的任何人都无法在软删除保留期内清除你的密钥保管库。 请记住,在 2019 年 9 月 1 日之后创建的密钥保管库默认启用软删除。 | 审计;否认;禁用 | 2.1.0 |
| 密钥保管库应启用软删除 | 在未启用软删除的情况下删除密钥保管库,将永久删除密钥保管库中存储的所有机密、密钥和证书。 意外删除密钥保管库可能会导致永久丢失数据。 软删除允许在可配置的保持期内恢复意外删除的密钥保管库。 | 审计;否认;禁用 | 3.1.0 |
| 应启用 Key Vault 中的资源日志 | 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 | AuditIfNotExists;禁用 | 5.0.0 |
DS-6:保护工作负荷生命周期
有关详细信息,请参阅 DevOps Security:DS-6:保护工作负荷生命周期。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | AuditIfNotExists;禁用 | 1.0.1 |
| 在 Azure 上运行的容器映像应已修复漏洞(由 Microsoft Defender 漏洞管理驱动) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | AuditIfNotExists;禁用 | 1.0.1 |
ES-1:使用终结点检测和响应 (EDR)
有关详细信息,请参阅 Endpoint Security:ES-1:使用终结点检测和响应(EDR)。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists;禁用 | 1.0.3 |
ES-2:使用新式反恶意软件
有关详细信息,请参阅 Endpoint Security:ES-2:使用新式反恶意软件。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应在计算机上启用 Windows Defender 攻击防护 | Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 | AuditIfNotExists;禁用 | 2.0.0 |
IM-1:使用自动化工具监视异常
有关详细信息,请参阅 标识管理:IM-1:使用自动化工具来监视异常。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应为 PostgreSQL 服务器预配 Microsoft Entra 管理员 | 审核 PostgreSQL 服务器的 Microsoft Entra 管理员设置以启用 Microsoft Entra 身份验证。 使用 Microsoft Entra 身份验证可简化权限管理,还可集中进行数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists;禁用 | 1.0.1 |
| 应该为 SQL 服务器预配 Azure Active Directory 管理员 | 审核确认已为 SQL Server 预配了 Azure Active Directory 管理员以启用 Azure AD 身份验证。 使用 Azure AD 身份验证可以简化权限管理,以及集中化数据库用户和其他 Microsoft 服务的标识管理 | AuditIfNotExists;禁用 | 1.0.0 |
| 应用服务应用应为 FTP 部署禁用本地身份验证方法 | 禁用 FTP 部署的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请查看: 在应用服务上禁用基本身份验证。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应用服务应用应为 SCM 网站部署禁用本地身份验证方法 | 禁用 SCM 站点的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请查看: 在应用服务上禁用基本身份验证。 | AuditIfNotExists;禁用 | 1.0.3 |
| Application Insights 组件应阻止并非基于 Azure Active Directory 的引入。 | 通过强制日志引入要求 Azure Active Directory 身份验证,可以防止攻击者引入未经身份验证的日志,因为那样会导致系统中出现错误状态、虚假警报和错误日志。 | 否认;审计;禁用 | 1.0.0 |
| Azure AI Services 资源应禁用密钥访问权限(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 有关详细信息,请查看: Azure AI 服务中的身份验证 | 审计;否认;禁用 | 1.1.0 |
| Azure Kubernetes 服务群集应启用 Microsoft Entra ID 集成 | AKS 托管的 Microsoft Entra ID 集成可以通过基于用户标识或目录组成员身份配置 Kubernetes 基于角色的访问控制 (Kubernetes RBAC) 来管理对群集的访问。 有关详细信息,请查看: 在 Azure Kubernetes 服务群集上启用 AKS 管理的 Microsoft Entra 集成。 | 审计;禁用 | 1.0.2 |
| Azure 机器学习计算应禁用本地身份验证方法 | 禁用本地身份验证方法可确保机器学习计算需要专用于身份验证的 Azure Active Directory 标识,从而提高安全性。 有关详细信息,请参阅: 适用于 Azure 机器学习的 Azure Policy 法规遵从性控制措施。 | 审计;否认;禁用 | 2.1.0 |
| Azure SQL 数据库应启用仅限 Microsoft Entra 的身份验证 | 要求 Azure SQL 逻辑服务器使用纯 Microsoft Entra 身份验证。 此策略不会阻止创建启用本地身份验证的服务器。 它确实会阻止在创建资源后启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请查看: 创建启用了Microsoft Entra-Only 身份验证的服务器。 | 审计;否认;禁用 | 1.0.0 |
| Azure SQL 数据库应在创建期间启用纯 Microsoft Entra 身份验证 | 要求使用纯 Microsoft Entra 身份验证创建 Azure SQL 逻辑服务器。 此策略不会阻止在创建资源后重新启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请查看: 创建启用了Microsoft Entra-Only 身份验证的服务器。 | 审计;否认;禁用 | 1.2.0 |
| Azure SQL 托管实例应启用仅限 Microsoft Entra 的身份验证 | 要求 Azure SQL 托管实例使用纯 Microsoft Entra 身份验证。 此策略不会阻止创建启用本地身份验证的 Azure SQL 托管实例。 它确实会阻止在创建资源后启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请查看: 创建启用了Microsoft Entra-Only 身份验证的服务器。 | 审计;否认;禁用 | 1.0.0 |
| Azure SQL 托管实例应在创建期间启用纯 Microsoft Entra 身份验证 | 要求使用纯 Microsoft Entra 身份验证创建 Azure SQL 托管实例。 此策略不会阻止在创建资源后重新启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请查看: 创建启用了Microsoft Entra-Only 身份验证的服务器。 | 审计;否认;禁用 | 1.2.0 |
| 配置 Azure AI 服务资源以禁用本地密钥访问(禁用本地身份验证) | 建议禁用密钥访问(本地身份验证),以确保安全。 通常用于开发/测试的 Azure OpenAI Studio 需要密钥访问,如果禁用密钥访问,则会无法使用。 禁用后,Microsoft Entra ID 将成为唯一的访问方法,该方法允许采用最低权限原则和精细控制。 有关详细信息,请查看: Azure AI 服务中的身份验证 | DeployIfNotExists;禁用 | 1.0.0 |
| 容器注册表应禁用本地管理员帐户。 | 禁用注册表的管理员帐户,以便本地管理员无法访问。禁用本地身份验证方法(例如管理员用户、存储库范围内的访问令牌和匿名拉取)可确保容器注册表仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请查看: 介绍的 Azure 容器注册表身份验证选项。 | 审计;否认;禁用 | 1.0.1 |
| Cosmos DB 数据库帐户应禁用本地身份验证方法 | 禁用本地身份验证方法可确保 Cosmos DB 数据库帐户仅将 Azure Active Directory 标识作为身份验证方法,从而提高安全性。 有关详细信息,请通过 基于角色的访问控制和Microsoft Entra ID 连接到 Azure Cosmos DB for NoSQL。 | 审计;否认;禁用 | 1.1.0 |
| Service Fabric 群集应仅使用 Azure Active Directory 进行客户端身份验证 | 审核在 Service Fabric 中仅通过 Azure Active Directory 进行的客户端身份验证使用情况 | 审计;否认;禁用 | 1.1.0 |
| 存储帐户应阻止共享密钥访问 | 审核 Azure Active Directory (Azure AD) 授予存储帐户请求权限的要求。 默认情况下,可以使用 Azure Active Directory 凭据对请求进行授权,或使用帐户访问密钥对其进行共享密钥授权。 在这两种类型的授权中,与共享密钥相比,Azure AD 提供更高级别的安全性和易用性,是 Microsoft 推荐的授权方法。 | 审计;否认;禁用 | 2.0.0 |
| 存储帐户应阻止共享密钥访问(不包括 Databricks 创建的存储帐户) | 审核 Azure Active Directory (Azure AD) 授予存储帐户请求权限的要求。 默认情况下,可以使用 Azure Active Directory 凭据对请求进行授权,或使用帐户访问密钥对其进行共享密钥授权。 在这两种类型的授权中,与共享密钥相比,Azure AD 提供更高级别的安全性和易用性,是 Microsoft 推荐的授权方法。 | 审计;否认;禁用 | 1.0.0 |
| Synapse 工作区应仅启用 Microsoft Entra 身份验证 | 要求 Synapse 工作区使用纯 Microsoft Entra 身份验证。 此策略不会阻止创建启用本地身份验证的工作区。 它确实会阻止在创建资源后启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请查看: Azure Synapse Analytics。 | 审计;否认;禁用 | 1.0.0 |
| Synapse 工作区应在工作区创建期间仅使用 Microsoft Entra 标识进行身份验证 | 要求使用纯 Microsoft Entra 身份验证创建 Synapse 工作区。 此策略不会阻止在创建资源后重新启用本地身份验证。 考虑使用“纯 Microsoft Entra 身份验证”计划,而不是同时要求使用这两者。 有关详细信息,请查看: Azure Synapse Analytics。 | 审计;否认;禁用 | 1.2.0 |
| VPN 网关应仅对点到站点用户使用 Azure Active Directory (Azure AD) 身份验证 | 禁用本地身份验证方法可确保 VPN 网关仅使用 Azure Active Directory 标识进行身份验证,从而提高安全性。 在配置 P2S VPN 网关以Microsoft Entra ID 身份验证中了解有关 Azure AD 身份验证的详细信息 | 审计;否认;禁用 | 1.0.0 |
| [预览]:Azure PostgreSQL 灵活服务器应启用仅 Microsoft Entra 身份验证 | 通过禁用本地身份验证方法并允许“仅限 Microsoft Entra 身份验证”,可确保 Azure PostgreSQL 灵活服务器只能由 Microsoft Entra 标识访问,从而提高安全性。 | 审计;禁用 | 1.0.0-preview |
IM-2:检测和分析安全事件
有关详细信息,请参阅 标识管理:IM-2:检测和分析安全事件。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 用户必须使用多重身份验证进行身份验证才能创建或更新资源 | 当调用方未通过 MFA 进行身份验证时,此策略定义会阻止资源创建和更新作。 有关详细信息,请访问计划强制Microsoft Entra 多重身份验证(MFA)。 | 审计;否认;禁用 | 1.0.1 |
IM-3:改进事件响应过程
有关详细信息,请参阅 标识管理:IM-3:改进事件响应过程。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应用服务应用槽应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists;禁用 | 1.0.0 |
| 应用服务应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists;禁用 | 3.0.0 |
| 自动化帐户应具有托管标识 | 将托管标识用作通过 Runbook 向 Azure 资源进行身份验证的推荐方法。 用于身份验证的托管标识更安全,且消除了与在 Runbook 代码中使用 RunAs 帐户相关的管理开销。 | 审计;禁用 | 1.0.0 |
| Azure 数据工厂链接服务应使用系统分配的托管标识身份验证(如果受支持) | 在通过链接服务与数据存储进行通信时,使用系统分配的托管标识可以避免使用密码或连接字符串等安全性较低的凭据。 | 审计;否认;禁用 | 2.1.0 |
| Azure 机器学习工作区应使用用户分配的托管标识 | 使用用户分配的托管标识管理对 Azure ML 工作区和相关资源、Azure 容器注册表、KeyVault、存储和应用见解的访问。 默认情况下,Azure ML 工作区使用系统分配的托管标识来访问关联的资源。 用户分配的托管标识允许你将标识创建为 Azure 资源并维护该标识的生命周期。 有关详细信息,请在 Azure 机器学习和其他服务之间设置身份验证。 | 审计;否认;禁用 | 1.0.0 |
| 认知服务帐户应使用托管标识 | 向认知服务帐户分配托管标识有助于确保身份验证安全。 此认知服务帐户使用该标识以安全方式与其他 Azure 服务(如 Azure Key Vault)进行通信,你无需管理任何凭据。 | 审计;否认;禁用 | 1.0.0 |
| 通信服务资源应使用托管标识 | 将托管标识分配给通信服务资源有助于确保安全身份验证。 此通信服务资源使用此标识以安全的方式与其他 Azure 服务(如 Azure 存储)通信,而无需管理任何凭据。 | 审计;否认;禁用 | 1.0.0 |
| 函数应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists;禁用 | 3.1.0 |
| 应为容器应用启用托管标识 | 强制实施托管标识可确保容器应用安全地向支持 Azure AD 身份验证的任何资源进行身份验证 | 审计;否认;禁用 | 1.0.1 |
| 流分析作业应使用托管标识对终结点进行身份验证 | 确保流分析作业仅使用托管标识身份验证连接到终结点。 | 否认;禁用;审计 | 1.0.0 |
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 在了解 Azure 计算机配置中了解详细信息 | AuditIfNotExists;禁用 | 1.0.1 |
| [预览版]:应在计算机上启用托管标识 | 由 Automanage 管理的资源应具有托管标识。 | 审计;禁用 | 1.0.0-preview |
| [预览]:来自 Azure Kubernetes 的托管标识联合凭据应来自受信任的源 | 此策略将 Azure Kubernetes 群集的 federeation 限制为仅来自已批准的租户的群集、已批准的区域和附加群集的特定例外列表。 | 审计;禁用;否认 | 1.0.0-preview |
| [预览]:GitHub 中的托管标识联合凭据应来自受信任的存储库所有者 | 此策略将与 GitHub 存储库的联合限制为仅已批准的存储库所有者。 | 审计;禁用;否认 | 1.0.1-preview |
| [预览]:托管标识联合凭据应来自允许的颁发者类型 | 此策略限制托管标识是否可以使用允许的联合凭据(允许使用通用颁发者类型),并提供允许的颁发者例外列表。 | 审计;禁用;否认 | 1.0.0-preview |
IM-4:启用日志记录和威胁检测功能
有关详细信息,请参阅 标识管理:IM-4:启用日志记录和威胁检测功能。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| API 管理对 API 后端的调用应进行身份验证 | 从 API 管理对后端的调用应使用某种形式的身份验证,无论是通过证书还是凭据。 不适用于 Service Fabric 后端。 | 审计;禁用;否认 | 1.0.1 |
| API 管理对 API 后端的调用不应绕过证书指纹或名称验证 | 要提升 API 安全性,API 管理应验证所有 API 调用的后端服务器证书。 启用 SSL 证书指纹和名称验证。 | 审计;禁用;否认 | 1.0.2 |
| 应对 Azure API 管理中的 API 终结点进行身份验证 | Azure API 管理中发布的 API 终结点应强制实施身份验证,以帮助最大程度地降低安全风险。 有时,身份验证机制的实现会不正确或缺失。 这会允许攻击者利用实现缺陷并访问数据。 在此处了解有关 OWASP API 威胁中断用户身份验证的详细信息: 使用 API 管理缓解 OWASP API 安全性前 10 个威胁的建议 | AuditIfNotExists;禁用 | 1.0.1 |
| Azure SQL 数据库应运行 TLS 版本 1.2 或更高版本 | 将 TLS 版本设置为 1.2 或更高版本,可以确保只能从使用 TLS 1.2 或更高版本的客户端访问 Azure SQL 数据库,从而提高安全性。 不建议使用低于 1.2 的 TLS 版本,因为它们存在有据可查的安全漏洞。 | 审计;禁用;否认 | 2.0.0 |
IM-6:使用自动事件响应
有关详细信息,请参阅 标识管理:IM-6:使用自动事件响应。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 对 Linux 虚拟机进行身份验证需要 SSH 密钥 | 虽然 SSH 本身提供加密连接,但是将密码用于 SSH 仍会使 VM 易受到暴力攻击。 通过 SSH 对 Azure Linux 虚拟机进行身份验证时,最安全的方法是使用公钥-私钥对,也称为 SSH 密钥。 了解详细信息 :详细步骤:在 Azure 中创建和管理用于向 Linux VM 进行身份验证的 SSH 密钥。 | AuditIfNotExists;禁用 | 3.2.0 |
IM-8:限制管理端口访问
有关详细信息,请参阅 标识管理:IM-8:限制管理端口访问。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| API 管理机密命名值应存储在 Azure Key Vault 中 | 命名值是每个 API 管理服务中名称/值对的集合。 机密值可以存储为 API 管理中的加密文本(自定义机密),也可以通过引用 Azure 密钥保管库中的机密进行存储。 要提高 API 管理和机密的安全性,请从 Azure Key Vault 引用机密命名值。 Azure 密钥保管库支持精细的访问管理和机密轮换策略。 | 审计;禁用;否认 | 1.0.2 |
| 计算机应已解决机密结果 | 审核虚拟机以检测它们是否包含虚拟机上机密扫描解决方案的机密发现结果。 | AuditIfNotExists;禁用 | 1.0.2 |
IR-2:准备 - 设置事件通知
有关详细信息,请参阅 事件响应:IR-2:准备 - 设置事件通知。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应启用高严重性警报的电子邮件通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请在安全中心为高严重性警报启用电子邮件通知。 | AuditIfNotExists;禁用 | 1.2.0 |
| 应启用向订阅所有者发送高严重性警报的电子邮件通知 | 当订阅中存在潜在的安全漏洞时,若要确保订阅所有者收到通知,请在安全中心设置向订阅所有者发送高严重性警报的电子邮件通知。 | AuditIfNotExists;禁用 | 2.1.0 |
| 订阅应有一个联系人电子邮件地址,用于接收安全问题通知 | 当某个订阅中存在潜在的安全漏洞时,若要确保组织中的相关人员收到通知,请设置一个安全联系人,以接收来自安全中心的电子邮件通知。 | AuditIfNotExists;禁用 | 1.0.1 |
IR-3:检测和分析 - 基于高质量警报创建事件
有关详细信息,请参阅 事件响应:IR-3:检测和分析 - 基于高质量警报创建事件。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 在 Microsoft Defender for Resource Manager - 权益和功能 中详细了解 Azure Defender for Resource Manager 的功能。 启用此 Azure Defender 计划会产生费用。 了解安全中心定价页上每个区域的定价详细信息: 定价 - Microsoft Defender for Cloud 。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 在没有高级数据安全的情况下审核 SQL 服务器 | AuditIfNotExists;禁用 | 2.0.1 |
| 应为未受保护的 MySQL 灵活服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 MySQL 灵活服务器 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为未受保护的 PostgreSQL 灵活服务器启用 Azure Defender for SQL | 在没有高级数据安全的情况下审核 PostgreSQL 灵活服务器 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应启用适用于开源关系数据库的 Azure Defender | 适用于开源关系数据库的 Azure Defender 可以检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 在 Defender for Open-Source 关系数据库概述中详细了解 Azure Defender for 开源关系数据库的功能。 重要提示:启用此计划将产生保护开源关系数据库的费用。 了解安全中心定价页上的定价: 定价 - Microsoft Defender for Cloud | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应启用 Microsoft Defender CSPM | Defender 云安全态势管理 (CSPM) 提供增强的态势功能和全新的智能云安全图,以帮助识别风险、确定风险优先级和减少风险。 除了 Defender for Cloud 中默认启用的免费基础安全态势功能,还提供 Defender CSPM。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用 Microsoft Defender for API | Microsoft Defender for API 引入了新的发现、保护、检测,以及用于监视常见基于 API 的攻击和安全性配置错误的响应覆盖。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为未受保护的 Synapse 工作区启用 Microsoft Defender for SQL | 启用 Defender for SQL 以保护 Synapse 工作区。 Defender for SQL 监视 Synapse SQL 以检测异常活动,这些活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | AuditIfNotExists;禁用 | 1.0.0 |
| Microsoft Defender for SQL 的状态应为“已为已启用 Arc 的 SQL Server 进行了保护” | Microsoft Defender for SQL 提供了以下功能:公开和缓解潜在数据库漏洞、检测可能对 SQL 数据库造成威胁的异常活动,发现和分类敏感数据。 启用后,保护状态指示资源受到主动监视。 即使启用了 Defender,也应该在代理、计算机、工作区和 SQL Server 上验证多个配置设置,以确保主动保护。 | 审计;禁用 | 1.1.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为机器计划中的 SQL Server 启用针对 SQL Server 的自动预配 | 为了确保 SQL VM 和已启用 Arc 的 SQL Server 受到保护,请确保将针对 SQL 的 Azure 监视代理配置为自动进行部署。 如果你之前配置了 Microsoft 监视代理的自动预配,那么这也是必要的,因为该组件将被弃用。 了解详细信息: 使用 AMA 迁移到计算机上的 Defender for SQL | AuditIfNotExists;禁用 | 1.0.0 |
IR-4:检测和分析 - 调查事件
有关详细信息,请参阅 事件响应:IR-4:检测和分析 - 调查事件。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应启用网络观察程序 | 网络观察程序是一个区域性服务,使您能够在网络场景级别监视和诊断 Azure 内部、传入和传出 Azure 的状态条件。 使用场景级别监控可以让您从端到端网络全局视图中诊断问题。 需要在存在虚拟网络的每个区域中创建一个网络观察程序资源组。 如果网络观察程序资源组在特定区域中不可用,则会启用警报。 | AuditIfNotExists;禁用 | 3.0.0 |
IR-5:检测和分析 - 确定事件的优先级
有关详细信息,请参阅 事件响应:IR-5:检测和分析 - 优先处理事件。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 在 Microsoft Defender for Resource Manager - 权益和功能 中详细了解 Azure Defender for Resource Manager 的功能。 启用此 Azure Defender 计划会产生费用。 了解安全中心定价页上每个区域的定价详细信息: 定价 - Microsoft Defender for Cloud 。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 在没有高级数据安全的情况下审核 SQL 服务器 | AuditIfNotExists;禁用 | 2.0.1 |
| 应为未受保护的 MySQL 灵活服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 MySQL 灵活服务器 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为未受保护的 PostgreSQL 灵活服务器启用 Azure Defender for SQL | 在没有高级数据安全的情况下审核 PostgreSQL 灵活服务器 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应启用适用于开源关系数据库的 Azure Defender | 适用于开源关系数据库的 Azure Defender 可以检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 在 Defender for Open-Source 关系数据库概述中详细了解 Azure Defender for 开源关系数据库的功能。 重要提示:启用此计划将产生保护开源关系数据库的费用。 了解安全中心定价页上的定价: 定价 - Microsoft Defender for Cloud | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应启用 Microsoft Defender CSPM | Defender 云安全态势管理 (CSPM) 提供增强的态势功能和全新的智能云安全图,以帮助识别风险、确定风险优先级和减少风险。 除了 Defender for Cloud 中默认启用的免费基础安全态势功能,还提供 Defender CSPM。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用 Microsoft Defender for API | Microsoft Defender for API 引入了新的发现、保护、检测,以及用于监视常见基于 API 的攻击和安全性配置错误的响应覆盖。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为未受保护的 Synapse 工作区启用 Microsoft Defender for SQL | 启用 Defender for SQL 以保护 Synapse 工作区。 Defender for SQL 监视 Synapse SQL 以检测异常活动,这些活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | AuditIfNotExists;禁用 | 1.0.0 |
| Microsoft Defender for SQL 的状态应为“已为已启用 Arc 的 SQL Server 进行了保护” | Microsoft Defender for SQL 提供了以下功能:公开和缓解潜在数据库漏洞、检测可能对 SQL 数据库造成威胁的异常活动,发现和分类敏感数据。 启用后,保护状态指示资源受到主动监视。 即使启用了 Defender,也应该在代理、计算机、工作区和 SQL Server 上验证多个配置设置,以确保主动保护。 | 审计;禁用 | 1.1.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为机器计划中的 SQL Server 启用针对 SQL Server 的自动预配 | 为了确保 SQL VM 和已启用 Arc 的 SQL Server 受到保护,请确保将针对 SQL 的 Azure 监视代理配置为自动进行部署。 如果你之前配置了 Microsoft 监视代理的自动预配,那么这也是必要的,因为该组件将被弃用。 了解详细信息: 使用 AMA 迁移到计算机上的 Defender for SQL | AuditIfNotExists;禁用 | 1.0.0 |
LT-1:启用威胁检测功能
有关详细信息,请参阅 日志记录和威胁检测:LT-1:启用威胁检测功能。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 在 Microsoft Defender for Resource Manager - 权益和功能 中详细了解 Azure Defender for Resource Manager 的功能。 启用此 Azure Defender 计划会产生费用。 了解安全中心定价页上每个区域的定价详细信息: 定价 - Microsoft Defender for Cloud 。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 在没有高级数据安全的情况下审核 SQL 服务器 | AuditIfNotExists;禁用 | 2.0.1 |
| 应为未受保护的 MySQL 灵活服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 MySQL 灵活服务器 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为未受保护的 PostgreSQL 灵活服务器启用 Azure Defender for SQL | 在没有高级数据安全的情况下审核 PostgreSQL 灵活服务器 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应启用适用于开源关系数据库的 Azure Defender | 适用于开源关系数据库的 Azure Defender 可以检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 在 Defender for Open-Source 关系数据库概述中详细了解 Azure Defender for 开源关系数据库的功能。 重要提示:启用此计划将产生保护开源关系数据库的费用。 了解安全中心定价页上的定价: 定价 - Microsoft Defender for Cloud | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists;禁用 | 1.0.3 |
| Azure Kubernetes 服务群集应启用 Defender 配置文件 | Microsoft Defender for Containers 提供云原生 Kubernetes 安全功能,包括环境强化、工作负载保护和运行时保护。 在 Azure Kubernetes 服务群集上启用 SecurityProfile.AzureDefender 时,会将代理部署到群集以收集安全事件数据。 详细了解如何在 Defender for Cloud 中管理 MCSB 建议中Microsoft Defender for Containers | 审计;禁用 | 2.0.1 |
| 应启用 Microsoft Defender CSPM | Defender 云安全态势管理 (CSPM) 提供增强的态势功能和全新的智能云安全图,以帮助识别风险、确定风险优先级和减少风险。 除了 Defender for Cloud 中默认启用的免费基础安全态势功能,还提供 Defender CSPM。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用 Microsoft Defender for API | Microsoft Defender for API 引入了新的发现、保护、检测,以及用于监视常见基于 API 的攻击和安全性配置错误的响应覆盖。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为未受保护的 Synapse 工作区启用 Microsoft Defender for SQL | 启用 Defender for SQL 以保护 Synapse 工作区。 Defender for SQL 监视 Synapse SQL 以检测异常活动,这些活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | AuditIfNotExists;禁用 | 1.0.0 |
| Microsoft Defender for SQL 的状态应为“已为已启用 Arc 的 SQL Server 进行了保护” | Microsoft Defender for SQL 提供了以下功能:公开和缓解潜在数据库漏洞、检测可能对 SQL 数据库造成威胁的异常活动,发现和分类敏感数据。 启用后,保护状态指示资源受到主动监视。 即使启用了 Defender,也应该在代理、计算机、工作区和 SQL Server 上验证多个配置设置,以确保主动保护。 | 审计;禁用 | 1.1.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为机器计划中的 SQL Server 启用针对 SQL Server 的自动预配 | 为了确保 SQL VM 和已启用 Arc 的 SQL Server 受到保护,请确保将针对 SQL 的 Azure 监视代理配置为自动进行部署。 如果你之前配置了 Microsoft 监视代理的自动预配,那么这也是必要的,因为该组件将被弃用。 了解详细信息: 使用 AMA 迁移到计算机上的 Defender for SQL | AuditIfNotExists;禁用 | 1.0.0 |
| 应在计算机上启用 Windows Defender 攻击防护 | Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 | AuditIfNotExists;禁用 | 2.0.0 |
| [预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 | 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 在 Defender for Cloud 中的安全功能分数中了解详细信息。 | AuditIfNotExists;禁用 | 6.0.0-preview |
LT-2:为标识和访问管理启用威胁检测
有关详细信息,请参阅 日志记录和威胁检测:LT-2:为标识和访问管理启用威胁检测。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应启用适用于应用服务的 Azure Defender | 适用于应用服务的 Azure Defender 利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应启用适用于 Azure SQL 数据库服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应启用 Azure Defender for Key Vault | 适用于 Key Vault 的 Azure Defender 通过检测旨在访问或利用密钥保管库帐户的不寻常和可能有害的尝试,提供额外的保护层和安全智能。 | AuditIfNotExists;禁用 | 1.0.3 |
| 应启用 Azure Defender for Resource Manager | Azure Defender for Resource Manager 会自动监视组织中的资源管理操作。 Azure Defender 会检测威胁,并向你发出有关可疑活动的警报。 在 Microsoft Defender for Resource Manager - 权益和功能 中详细了解 Azure Defender for Resource Manager 的功能。 启用此 Azure Defender 计划会产生费用。 了解安全中心定价页上每个区域的定价详细信息: 定价 - Microsoft Defender for Cloud 。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用适用于计算机上的 SQL 服务器的 Azure Defender | Azure Defender for SQL 提供了以下功能:呈现和缓解潜在数据库漏洞、检测可能指示对 SQL 数据库产生威胁的异常活动,以及发现敏感数据并对其进行分类。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应为未受保护的 Azure SQL 服务器启用 Azure Defender for SQL | 在没有高级数据安全的情况下审核 SQL 服务器 | AuditIfNotExists;禁用 | 2.0.1 |
| 应为未受保护的 MySQL 灵活服务器启用 Azure Defender for SQL | 审核没有高级数据安全的 MySQL 灵活服务器 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为未受保护的 PostgreSQL 灵活服务器启用 Azure Defender for SQL | 在没有高级数据安全的情况下审核 PostgreSQL 灵活服务器 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为未受保护的 SQL 托管实例启用 Azure Defender for SQL | 审核所有未启用高级数据安全的 SQL 托管实例。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应启用适用于开源关系数据库的 Azure Defender | 适用于开源关系数据库的 Azure Defender 可以检测异常活动,这些活动指示有人企图以非寻常或可能有害的方式访问或恶意利用数据库。 在 Defender for Open-Source 关系数据库概述中详细了解 Azure Defender for 开源关系数据库的功能。 重要提示:启用此计划将产生保护开源关系数据库的费用。 了解安全中心定价页上的定价: 定价 - Microsoft Defender for Cloud | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用适用于服务器的 Azure Defender | 适用于服务器的 Azure Defender 可为服务器工作负载提供实时威胁防护,并生成强化建议以及有关可疑活动的警报。 | AuditIfNotExists;禁用 | 1.0.3 |
| Azure Kubernetes 服务群集应启用 Defender 配置文件 | Microsoft Defender for Containers 提供云原生 Kubernetes 安全功能,包括环境强化、工作负载保护和运行时保护。 在 Azure Kubernetes 服务群集上启用 SecurityProfile.AzureDefender 时,会将代理部署到群集以收集安全事件数据。 详细了解如何在 Defender for Cloud 中管理 MCSB 建议中Microsoft Defender for Containers | 审计;禁用 | 2.0.1 |
| 应启用 Microsoft Defender CSPM | Defender 云安全态势管理 (CSPM) 提供增强的态势功能和全新的智能云安全图,以帮助识别风险、确定风险优先级和减少风险。 除了 Defender for Cloud 中默认启用的免费基础安全态势功能,还提供 Defender CSPM。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用 Microsoft Defender for Containers | Microsoft Defender for Containers 为 Azure、混合和多云 Kubernetes 环境提供强化、漏洞评估和运行时保护。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为未受保护的 Synapse 工作区启用 Microsoft Defender for SQL | 启用 Defender for SQL 以保护 Synapse 工作区。 Defender for SQL 监视 Synapse SQL 以检测异常活动,这些活动表明数据库遭到了异常的访问或利用尝试并且可能会造成损害。 | AuditIfNotExists;禁用 | 1.0.0 |
| Microsoft Defender for SQL 的状态应为“已为已启用 Arc 的 SQL Server 进行了保护” | Microsoft Defender for SQL 提供了以下功能:公开和缓解潜在数据库漏洞、检测可能对 SQL 数据库造成威胁的异常活动,发现和分类敏感数据。 启用后,保护状态指示资源受到主动监视。 即使启用了 Defender,也应该在代理、计算机、工作区和 SQL Server 上验证多个配置设置,以确保主动保护。 | 审计;禁用 | 1.1.0 |
| 应启用适用于存储的 Microsoft Defender | Microsoft Defender for Storage 检测存储帐户的潜在威胁。 它有助于避免威胁对数据和工作负载产生三个重大影响:恶意文件上传、敏感数据外泄和数据损坏。 新的 Defender for Storage 计划包括恶意软件扫描和敏感数据威胁检测。 此计划还提供了可预测的定价结构(按存储帐户),以便更好地控制覆盖范围和成本。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应为机器计划中的 SQL Server 启用针对 SQL Server 的自动预配 | 为了确保 SQL VM 和已启用 Arc 的 SQL Server 受到保护,请确保将针对 SQL 的 Azure 监视代理配置为自动进行部署。 如果你之前配置了 Microsoft 监视代理的自动预配,那么这也是必要的,因为该组件将被弃用。 了解详细信息: 使用 AMA 迁移到计算机上的 Defender for SQL | AuditIfNotExists;禁用 | 1.0.0 |
| 应在计算机上启用 Windows Defender 攻击防护 | Windows Defender 攻击防护使用 Azure Policy 来宾配置代理。 攻击防护服务具有 4 个组件,旨在锁定设备来阻隔各种攻击途径,并阻止恶意软件攻击中常用的行为,同时让企业能够平衡其安全风险和生产力要求(仅限 Windows)。 | AuditIfNotExists;禁用 | 2.0.0 |
| [预览版]:已启用 Azure Arc 的 Kubernetes 群集应安装 Microsoft Defender for Cloud 扩展 | 适用于 Azure Arc 的 Microsoft Defender for Cloud 扩展为启用 Arc 的 Kubernetes 群集提供威胁防护。 该扩展从群集中的所有节点收集数据,并将数据发送到云中的 Azure Defender for Kubernetes 后端做进一步分析。 在 Defender for Cloud 中的安全功能分数中了解详细信息。 | AuditIfNotExists;禁用 | 6.0.0-preview |
LT-3:启用日志记录以进行安全调查
有关详细信息,请参阅 日志记录和威胁检测:LT-3:启用日志记录进行安全调查。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应用服务应用应已启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists;禁用 | 2.0.1 |
| 应启用 SQL 服务器上的审核 | 应在 SQL 服务器上启用审核以跟踪服务器上所有数据库的数据库活动,并将其保存在审核日志中。 | AuditIfNotExists;禁用 | 2.0.0 |
| Azure Front Door 应启用资源日志 | 为 Azure Front Door(以及 WAF)启用资源日志,并传输到 Log Analytics 工作区。 详细了解入站 Web 流量和为缓解攻击所采取的措施。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用 Azure AI 服务资源中的诊断日志 | 为 Azure AI 服务资源启用日志。 这样便可以在发生安全事件或网络遭泄露时,重新创建活动线索用于调查目的 | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用 Azure Data Lake Store 中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists;禁用 | 5.0.0 |
| 应启用 Azure Databricks 工作区中的资源日志 | 发生安全事件或网络遭到入侵时,通过资源日志可重新创建用于调查的活动线索。 | AuditIfNotExists;禁用 | 1.0.1 |
| 应启用 Azure Kubernetes 服务中的资源日志 | 在调查安全事件时,Azure Kubernetes 服务的资源日志可帮助重新创建活动线索。 启用日志可确保它们在需要时存在 | AuditIfNotExists;禁用 | 1.0.0 |
| 应启用 Azure 机器学习工作区中的资源日志 | 发生安全事件或网络遭到入侵时,通过资源日志可重新创建用于调查的活动线索。 | AuditIfNotExists;禁用 | 1.0.1 |
| 应启用 Azure 流分析中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists;禁用 | 5.0.0 |
| 应启用 Batch 帐户中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists;禁用 | 5.0.0 |
| 应启用 Data Lake Analytics 中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists;禁用 | 5.0.0 |
| 应启用事件中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists;禁用 | 5.0.0 |
| 应启用 IoT 中心内的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists;禁用 | 3.1.0 |
| 应启用 Key Vault 中的资源日志 | 对启用资源日志进行审核。 使用此策略可在发生安全事件或网络受到安全威胁时重新创建用于调查的活动线索 | AuditIfNotExists;禁用 | 5.0.0 |
| 应启用逻辑应用中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists;禁用 | 5.1.0 |
| 应启用搜索服务中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists;禁用 | 5.0.0 |
| 应启用服务总线中的资源日志 | 对启用资源日志进行审核。 这样便可以在发生安全事件或网络受到威胁时重新创建活动线索以用于调查目的 | AuditIfNotExists;禁用 | 5.0.0 |
LT-4:启用网络日志记录以进行安全调查
有关详细信息,请参阅 日志记录和威胁检测:LT-4:启用网络日志记录进行安全调查。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应为每个网络安全组配置流日志 | 审核网络安全组以验证是否配置了流日志。 启用流日志可以记录有关流经网络安全组的 IP 流量的信息。 该功能可用于优化网络流、监视吞吐量、验证合规性、检测入侵情况等。 | 审计;禁用 | 1.1.0 |
| [预览版]:应在 Linux 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,例如网络地图上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists;禁用 | 1.0.2-preview |
| [预览版]:应在 Windows 虚拟机上安装网络流量数据收集代理 | 安全中心使用 Microsoft Dependency Agent 从 Azure 虚拟机收集网络流量数据,以启用高级网络保护功能,例如网络地图上的流量可视化、网络强化建议和特定网络威胁。 | AuditIfNotExists;禁用 | 1.0.2-preview |
LT-5:集中管理和分析安全日志
有关详细信息,请参阅 日志记录和威胁检测:LT-5:集中安全日志管理和分析。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应将 Azure Monitor 中已保存的查询保存在客户存储帐户中以进行日志加密 | 将存储帐户链接到 Log Analytics 工作区,以通过存储帐户加密保护保存的查询。 为了满足法规合规性并更好地控制对 Azure Monitor 中保存的查询的访问,通常需要使用客户管理的密钥。 有关上述更多详细信息,请参阅 Azure Monitor 中保存查询的客户管理的密钥。 | 审计;审计;否认;否认;禁用;禁用 | 1.1.0 |
| [预览版]:Log Analytics 扩展应安装在 Linux Azure Arc 计算机中 | 此策略审核是否有 Linux Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists;禁用 | 1.0.1-preview |
| [预览版]:Log Analytics 扩展应安装在 Windows Azure Arc 计算机中 | 此策略审核是否有 Windows Azure Arc 计算机未安装 Log Analytics 扩展。 | AuditIfNotExists;禁用 | 1.0.1-preview |
LT-6:配置日志存储保留期
有关详细信息,请参阅 日志记录和威胁检测:LT-6:配置日志存储保留。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 对存储帐户目标进行审核的 SQL Server 应配置至少 90 天的保留期 | 为便于调查事件,建议将 SQL Server 审核数据在存储帐户目标中的数据保留期设置为至少 90 天。 确认你遵守所运营区域的必要保留规则。 为了符合监管标准,有时需要这样做。 | AuditIfNotExists;禁用 | 3.0.0 |
NS-1:建立网络分段边界
有关详细信息,请参阅 “网络安全:NS-1:建立网络分段边界”。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应在与虚拟机关联的网络安全组上限制所有网络端口 | Azure 安全中心已识别到网络安全组的某些入站规则过于宽松。 入站规则不应允许从“任何”或“Internet”范围进行访问。 这有可能使得攻击者能够将你的资源定为攻击目标。 | AuditIfNotExists;禁用 | 3.0.0 |
| 面向 Internet 的虚拟机应使用网络安全组进行保护 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范 VM 遭受潜在威胁。 详细了解如何在 Azure 网络安全组概述中使用 NSG 控制流量 | AuditIfNotExists;禁用 | 3.0.0 |
| 应使用网络安全组来保护非面向 Internet 的虚拟机 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范非面向 Internet 的 VM 遭受潜在威胁。 详细了解如何在 Azure 网络安全组概述中使用 NSG 控制流量 | AuditIfNotExists;禁用 | 3.0.0 |
| 子网应与网络安全组关联 | 使用网络安全组 (NSG) 限制对 VM 的访问,以此防范子网遭受潜在威胁。 NSG 包含一系列访问控制列表 (ACL) 规则,这些规则可以允许或拒绝流向子网的网络流量。 | AuditIfNotExists;禁用 | 3.0.0 |
NS-2:使用网络控制保护云服务
有关详细信息,请参阅 “网络安全:NS-2:使用网络控制保护云服务”。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| API 管理服务应使用虚拟网络 | Azure 虚拟网络部署提供了增强的安全性和隔离,并允许你将 API 管理服务放置在不可经 Internet 路由的网络(你控制对其的访问权限)中。 然后,可以使用各种 VPN 技术将这些网络连接到本地网络,这样就能够访问网络中的和/或本地的后端服务。 可以将开发人员门户和 API 网关配置为可以从 Internet 访问或只能在虚拟网络内访问。 | 审计;否认;禁用 | 1.0.2 |
| API 管理应禁用对服务配置终结点的公用网络访问 | 要提高 API 管理服务的安全性,请限制与服务配置终结点的连接,例如直接访问管理 API、Git 配置管理终结点,或自承载网关配置终结点。 | AuditIfNotExists;禁用 | 1.0.1 |
| 应用配置应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请参阅: 使用专用终结点进行 Azure 应用配置。 | 审计;否认;禁用 | 1.0.0 |
| 应用配置应使用支持专用链接的 SKU | 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请参阅: 使用专用终结点进行 Azure 应用配置。 | 审计;否认;禁用 | 1.0.0 |
| 应用程序配置应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用配置实例(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请参阅: 使用专用终结点进行 Azure 应用配置。 | AuditIfNotExists;禁用 | 1.0.2 |
| 不应通过公共 Internet 访问应用服务环境应用 | 为了确保无法通过公共 Internet 访问应用服务环境中部署的应用程序,应在虚拟网络中部署具有 IP 地址的应用服务环境。 若要将 IP 地址设置为虚拟网络 IP,必须使用内部负载均衡器部署应用服务环境。 | 审计;否认;禁用 | 3.0.0 |
| 应用服务应用槽应禁用公用网络访问 | 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 有关详细信息,请查看: 使用适用于应用的专用终结点。 | 审计;禁用;否认 | 1.0.0 |
| 应用服务应用应禁用公用网络访问 | 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 有关详细信息,请查看: 使用适用于应用的专用终结点。 | 审计;禁用;否认 | 1.1.0 |
| 应用服务应用应使用支持专用链接的 SKU | 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用,可以降低数据泄露风险。 详细了解专用链接,网址为 :使用适用于应用的专用终结点。 | 审计;否认;禁用 | 4.3.0 |
| 应用服务应用应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用服务,可以降低数据泄露风险。 详细了解专用链接,网址为 :使用适用于应用的专用终结点。 | AuditIfNotExists;禁用 | 1.0.1 |
| Application Insights 组件应阻止来自公共网络的日志引入和查询 | 通过阻止来自公共网络的日志引入和查询来改善 Application Insights 的安全性。 只有已连接到专用链接的网络才能引入和查询此组件的日志。 有关详细信息,请参阅 使用 Azure 专用链接将网络连接到 Azure Monitor。 | 审计;审计;否认;否认;禁用;禁用 | 1.1.0 |
| 应在 Kubernetes 服务上定义经授权的 IP 范围 | 通过仅向特定范围内的 IP 地址授予 API 访问权限,来限制对 Kubernetes 服务管理 API 的访问。 建议将访问权限限制给已获授权的 IP 范围,以确保只有受允许网络中的应用程序可以访问群集。 | 审计;禁用 | 2.0.1 |
| 自动化帐户应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 可以改为通过创建专用终结点来限制自动化帐户资源的公开。 有关详细信息,请参阅: 使用 Azure 专用链接安全地将网络连接到 Azure 自动化。 | 审计;否认;禁用 | 1.0.0 |
| Azure AI 搜索服务应使用支持专用链接 的 SKU | 借助 Azure AI 搜索支持的 SKU,Azure 专用链接使你可以将虚拟网络连接到 Azure 服务,而无需在源或目标处提供公共 IP 地址。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到搜索服务,可以降低数据泄露风险。 有关详细信息,请查看: 为安全连接创建专用终结点。 | 审计;否认;禁用 | 1.0.1 |
| Azure AI 搜索服务应禁用公共网络访问 | 禁用公共网络访问可确保 Azure AI 搜索服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制搜索服务的公开。 有关详细信息,请查看: 为安全连接创建专用终结点。 | 审计;否认;禁用 | 1.0.1 |
| Azure AI 服务资源应限制网络访问 | 通过限制网络访问,可以确保只有允许的网络才能访问该服务。 这可以通过配置网络规则来实现,从其确保只有允许的网络中的应用程序才可以访问 Azure AI 服务。 | 审计;否认;禁用 | 3.3.0 |
| Azure AI 服务资源应使用 Azure 专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台通过 Azure 主干网络处理使用者和服务之间的连接,可降低数据泄露风险。 详细了解专用链接: 什么是 Azure 专用链接? | 审计;禁用 | 1.0.0 |
| Azure API for FHIR 应使用专用链接 | Azure API for FHIR 应至少有一个批准的专用终结点连接。 虚拟网络中的客户端可以通过专用链接安全地访问具有专用终结点连接的资源。 有关详细信息,请访问: 为 Azure Health Data Services 配置专用链接。 | 审计;禁用 | 1.0.0 |
| 应使用专用终结点配置 Azure Arc 专用链接范围 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Arc 专用链接范围,降低数据泄露风险。 详细了解专用链接: 使用 Azure 专用链接通过专用终结点将服务器连接到 Azure Arc。 | 审计;禁用 | 1.0.0 |
| Azure Arc 专用链接范围应禁用公共网络访问权限 | 禁用公共网络访问权限通过确保 Azure Arc 资源无法通过公共 Internet 连接来提高安全性。 创建专用终结点可以限制 Azure Arc 资源的公开。 有关详细信息,请查看: 使用 Azure 专用链接通过专用终结点将服务器连接到 Azure Arc。 | 审计;否认;禁用 | 1.0.0 |
| 应使用 Azure Arc 专用链接范围配置已启用 Azure Arc 的 Kubernetes 群集 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将已启用 Azure Arc 的服务器映射到配置了专用终结点的 Azure Arc 专用链接范围,降低数据泄露风险。 详细了解专用链接: 使用 Azure 专用链接通过专用终结点将服务器连接到 Azure Arc。 | 审计;否认;禁用 | 1.0.0 |
| 应为已启用 Azure Arc 的服务器配置 Azure Arc 专用链接范围 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将已启用 Azure Arc 的服务器映射到配置了专用终结点的 Azure Arc 专用链接范围,降低数据泄露风险。 详细了解专用链接: 使用 Azure 专用链接通过专用终结点将服务器连接到 Azure Arc。 | 审计;否认;禁用 | 1.0.0 |
| Azure 证明提供程序应禁用公用网络访问 | 若要提高 Azure 证明服务的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 如 aka.ms/azureattestation 中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | 审计;否认;禁用 | 1.0.0 |
| Azure Cache for Redis Enterprise 应使用专用链接 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis Enterprise 实例,可以降低数据泄露风险。 有关详细信息,请阅读: 什么是 Azure Cache for Redis 与 Azure 专用链接?。 | AuditIfNotExists;禁用 | 1.0.0 |
| Azure Cache for Redis 应禁用公用网络访问 | 禁用公用网络访问可确保 Azure Cache for Redis 不会在公共 Internet 上公开,从而提高安全性。 可以改为通过创建专用终结点来限制 Azure Cache for Redis 的公开。 有关详细信息,请阅读: 什么是 Azure Cache for Redis 与 Azure 专用链接?。 | 审计;否认;禁用 | 1.0.0 |
| Azure Cache for Redis 应使用专用链接 | 通过专用终结点,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 通过将专用终结点映射到 Azure Cache for Redis 实例,可以降低数据泄露风险。 有关详细信息,请阅读: 什么是 Azure Cache for Redis 与 Azure 专用链接?。 | AuditIfNotExists;禁用 | 1.0.0 |
| Azure Cosmos DB 帐户应有防火墙规则 | 应在 Azure Cosmos DB 帐户上定义防火墙规则,以防止来自未经授权的源的流量。 至少定义了一个 IP 规则且启用了虚拟网络筛选器的帐户才会被视为合规。 禁用公共访问的帐户也被视为合规。 | 审计;否认;禁用 | 2.1.0 |
| Azure Cosmos DB 应禁用公用网络访问 | 禁用公用网络访问可确保 CosmosDB 帐户不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 CosmosDB 帐户的公开。 有关详细信息,请查看: 在 Azure Cosmos DB 帐户创建期间阻止公共网络访问。 | 审计;否认;禁用 | 1.0.0 |
| Azure 数据资源管理器群集应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据资源管理器群集,可以降低数据泄露风险。 在以下位置详细了解专用链接: Azure 数据资源管理器的专用终结点。 | 审计;禁用 | 1.0.0 |
| Azure 数据资源管理器应使用支持专用链接的 SKU | 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用,可以降低数据泄露风险。 详细了解专用链接,网址为 :使用适用于应用的专用终结点。 | 审计;否认;禁用 | 1.0.0 |
| Azure 数据工厂应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 数据工厂,可以降低数据泄露风险。 详细了解专用链接,网址为: Azure 数据工厂的 Azure 专用链接。 | AuditIfNotExists;禁用 | 1.0.0 |
| Azure Databricks 群集应禁用公共 IP | 在 Azure Databricks 工作区中禁用群集的公共 IP 可确保群集不会在公共 Internet 上公开,从而提高安全性。 有关详细信息,请查看: 启用安全群集连接。 | 审计;否认;禁用 | 1.0.1 |
| Azure Databricks 工作区应位于虚拟网络中 | Azure 虚拟网络增强了 Azure Databricks 工作区的安全性和隔离性,并提供子网、访问控制策略和其他功能来进一步限制访问。 有关详细信息,请参阅: 在 Azure 虚拟网络(VNet 注入)中部署 Azure Databricks。 | 审计;否认;禁用 | 1.0.2 |
| Azure Databricks 工作区应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来控制资源的公开。 有关详细信息,请查看: Azure 专用链接概念。 | 审计;否认;禁用 | 1.0.1 |
| Azure Databricks 工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Databricks 工作区,可以降低数据泄露风险。 详细了解专用链接: 配置与 Azure Databricks 的后端专用连接。 | 审计;禁用 | 1.0.2 |
| Azure Databricks 工作区应该是高级 SKU,支持专用链接、客户管理的密钥加密等功能 | 仅允许具有你的组织可以部署的高级 SKU 的 Databricks 工作区来支持专用链接、客户管理的密钥加密等功能。 有关详细信息,请参阅: 配置与 Azure Databricks 的后端专用连接。 | 审计;否认;禁用 | 1.0.1 |
| 适用于 IoT 中心帐户的 Azure 设备更新应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到适用于 IoT 中心帐户的 Azure 设备更新,可以降低数据泄露风险。 | AuditIfNotExists;禁用 | 1.0.0 |
| Azure 事件网格域应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请参阅: 为主题或域配置专用终结点。 | 审计;否认;禁用 | 1.0.0 |
| Azure 事件网格域应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格域(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请参阅: 为主题或域配置专用终结点。 | 审计;禁用 | 1.0.2 |
| Azure 事件网格命名空间 MQTT 代理应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格命名空间而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请参阅: 为主题或域配置专用终结点。 | 审计;禁用 | 1.0.0 |
| Azure 事件网格命名空间主题代理应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格命名空间而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请参阅: 为主题或域配置专用终结点。 | 审计;禁用 | 1.0.0 |
| Azure 事件网格命名空间应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请参阅: 为主题或域配置专用终结点。 | 审计;否认;禁用 | 1.0.0 |
| Azure 事件网格主题应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 有关详细信息,请参阅: 为主题或域配置专用终结点。 | 审计;否认;禁用 | 1.0.0 |
| Azure 事件网格主题应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件网格主题(而不是整个服务),还可以防范数据泄露风险。 有关详细信息,请参阅: 为主题或域配置专用终结点。 | 审计;禁用 | 1.0.2 |
| Azure 文件同步应使用专用链接 | 为指定的存储同步服务资源创建专用终结点,可以从组织网络的专用 IP 地址空间中寻址存储同步服务资源,而不是通过可通过 Internet 访问的公共终结点。 单独创建专用终结点并不会禁用公共终结点。 | AuditIfNotExists;禁用 | 1.0.0 |
| Azure Front Door 配置文件应使用支持托管 WAF 规则和专用链接的高级层 | Azure Front Door Premium 支持 Azure 托管 WAF 规则和指向支持的 Azure 源的专用链接。 | 审计;否认;禁用 | 1.0.0 |
| Azure HDInsight 应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure HDInsight 群集,可以降低数据泄露风险。 详细了解专用链接,网址为: 在 Azure HDInsight 群集上启用专用链接。 | AuditIfNotExists;禁用 | 1.0.0 |
| Azure Health Data Services 取消标识服务应禁用公用网络访问 | 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 | 审计;禁用 | 1.0.0 |
| Azure Health Data Services 取消标识服务应使用专用链接 | Azure Health Data Services 取消标识服务应至少具有一个批准的专用终结点连接。 虚拟网络中的客户端可以通过专用链接安全地访问具有专用终结点连接的资源。 | 审计;禁用 | 1.0.0 |
| Azure Health Data Services 工作区应使用专用链接 | 运行状况数据服务工作区应至少有一个批准的专用终结点连接。 虚拟网络中的客户端可以通过专用链接安全地访问具有专用终结点连接的资源。 有关详细信息,请访问: 为 Azure Health Data Services 配置专用链接。 | 审计;禁用 | 1.0.0 |
| Azure 密钥保管库应禁用公用网络访问 | 禁用对密钥保管库的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请查看: 将 Key Vault 与 Azure 专用链接集成。 | 审计;否认;禁用 | 1.1.0 |
| Azure Key Vault 应启用防火墙或禁用公用网络访问 | 启用密钥保管库防火墙,以便默认情况下无法访问密钥保管库,或者禁用密钥保管库的公共网络访问,以便无法通过公共 Internet 访问密钥保管库。 (可选)可以配置特定的 IP 范围来限制对这些网络的访问。 有关详细信息,请查看:Azure Key Vault 的网络安全性,并将 Key Vault 与 Azure 专用链接集成 | 审计;否认;禁用 | 3.3.0 |
| Azure 密钥保管库应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到密钥保管库,可以降低数据泄露风险。 详细了解专用链接: 将 Key Vault 与 Azure 专用链接集成。 | 审计;否认;禁用 | 1.2.1 |
| Azure 机器学习计算应位于虚拟网络中 | Azure 虚拟网络增强了 Azure 机器学习计算群集和实例的安全性和隔离性,并提供子网、访问控制策略和其他功能来进一步限制访问。 为计算配置虚拟网络后,该计算不可公开寻址,并且只能从虚拟网络中的虚拟机和应用程序进行访问。 | 审计;禁用 | 1.0.1 |
| Azure 机器学习工作区应禁用公用网络访问 | 禁用公用网络访问可确保机器学习工作区不会在公共 Internet 上公开,从而提高安全性。 你可以通过创建专用端点来控制工作区的曝光。 有关详细信息,请参阅: 为 Azure 机器学习工作区配置专用终结点。 | 审计;否认;禁用 | 2.0.1 |
| Azure 机器学习和 Ai Studio 应使用“仅允许批准的出站托管 VNet”模式 | 托管 VNet 隔离简化了网络隔离配置,并使用内置的工作区级 Azure 机器学习托管 VNet 自动执行网络隔离配置。 托管 VNet 保护托管的 Azure 机器学习资源,例如计算实例、计算群集、无服务器计算和托管联机终结点。 | 审计;否认;禁用 | 1.0.0 |
| Azure 机器学习工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 机器学习工作区,可以降低数据泄露风险。 若要详细了解专用链接,请参阅: 为 Azure 机器学习工作区配置专用终结点。 | 审计;禁用 | 1.0.0 |
| Azure 托管 Grafana 工作区应禁用公用网络访问 | 禁用公共网络访问可确保 Azure 托管 Grafana 工作区不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制工作区的公开。 | 审计;否认;禁用 | 1.0.0 |
| Azure 托管 Grafana 工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到托管 Grafana,可以降低数据泄露风险。 | 审计;禁用 | 1.0.1 |
| Azure Monitor 专用链接范围应阻止对非专用链接资源的访问 | Azure 专用链接允许通过 Azure Monitor 专用链接范围 (AMPLS) 的专用终结点将虚拟网络连接到 Azure 资源。 AMPLS 上设置了专用链接访问模式,用于控制来自网络的引入和查询请求是否可以访问所有资源,或只能访问专用链接资源(以防数据外泄)。 在以下位置了解有关专用链接的详细信息:Azure 专用链接访问模式(专用链接与开放)。 | 审计;否认;禁用 | 1.0.0 |
| Azure Monitor 专用链接范围应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Monitor 专用链接范围,可以降低数据泄露风险。 详细了解专用链接: 使用 Azure 专用链接将网络连接到 Azure Monitor。 | AuditIfNotExists;禁用 | 1.0.0 |
| Azure Purview 帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Purview 帐户而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请在 经典 Microsoft Purview 治理门户中使用专用终结点。 | 审计;禁用 | 1.0.0 |
| Azure SQL 托管实例应禁用公用网络访问 | 禁用 Azure SQL 托管实例上的公用网络访问(公共终结点)可确保只能从其虚拟网络内部或专用终结点访问它们,从而提高安全性。 若要了解有关公共网络访问的详细信息,请访问 “配置公共终结点”。 | 审计;否认;禁用 | 1.0.0 |
| Azure 服务总线命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到服务总线命名空间,可以降低数据泄露风险。 有关详细信息,请查看: 允许通过专用终结点访问 Azure 服务总线命名空间。 | AuditIfNotExists;禁用 | 1.0.0 |
| Azure SignalR 服务应禁用公用网络访问 | 若要提高 Azure SignalR 服务资源的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 根据 配置网络访问控制中所述禁用公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | 审计;否认;禁用 | 1.2.0 |
| Azure SignalR 服务应使用支持专用链接的 SKU | Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务,从而使你的资源免遭公共数据泄露风险。 此策略将你限制为对 Azure SignalR 服务使用支持专用链接的 SKU。 详细了解专用链接: 使用专用终结点。 | 审计;否认;禁用 | 1.0.0 |
| Azure SignalR 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure SignalR 服务资源而不是整个服务,可降低数据泄露风险。 详细了解专用链接,网址: 使用专用终结点。 | 审计;禁用 | 1.0.0 |
| Azure Spring Cloud 应使用网络注入 | Azure Spring Cloud 实例应使用虚拟网络注入实现以下目的:1. 将 Azure Spring Cloud 与 Internet 隔离。 2. 使 Azure Spring Cloud 能够与本地数据中心内的系统和/或其他虚拟网络中的 Azure 服务内的系统进行交互。 3. 授权客户控制 Azure Spring Cloud 的入站和出站网络通信。 | 审计;禁用;否认 | 1.2.0 |
| Azure Synapse 工作区应禁用公用网络访问 | 禁用公用网络访问可确保 Synapse 工作区不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 Synapse 工作区公开。 有关详细信息,请查看: Azure Synapse Analytics 连接设置。 | 审计;否认;禁用 | 1.0.0 |
| Azure Synapse 工作区应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Synapse 工作区,可以降低数据泄露风险。 详细了解专用链接: 使用专用链接连接到 Azure Synapse 工作区。 | 审计;禁用 | 1.0.1 |
| Azure 虚拟桌面主机池应禁用公用网络访问 | 禁用公用网络访问可确保对 Azure 虚拟桌面服务的访问不向公共 Internet 公开,从而提高安全性并保护数据安全。 有关详细信息,请查看: 使用 Azure 虚拟桌面设置专用链接。 | 审计;否认;禁用 | 1.0.0 |
| Azure 虚拟桌面主机池应只禁用会话主机上的公用网络访问 | 禁用 Azure 虚拟桌面主机池会话主机的公用网络访问,但允许最终用户的公共访问时,可以通过限制对 Internet 的公开来提高安全性。 有关详细信息,请查看: 使用 Azure 虚拟桌面设置专用链接。 | 审计;否认;禁用 | 1.0.0 |
| Azure 虚拟桌面服务应使用专用链接 | 将 Azure 专用链接与 Azure 虚拟桌面资源配合使用时,可以提高安全性并保护数据安全。 详细了解专用链接,网址为: 使用 Azure 虚拟桌面设置专用链接。 | 审计;禁用 | 1.0.0 |
| Azure 虚拟桌面工作区应禁用公用网络访问 | 禁用 Azure 虚拟桌面工作区资源的公用网络访问后,会阻止通过公共 Internet 访问源。 仅允许专用网络访问时,可提高安全性并保护数据安全。 有关详细信息,请查看: 使用 Azure 虚拟桌面设置专用链接。 | 审计;否认;禁用 | 1.0.0 |
| Azure Web PubSub 服务应禁用公用网络访问 | 禁用公共网络访问可确保 Azure Web PubSub 服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制 Azure Web PubSub 服务的公开。 有关详细信息,请查看: Azure Web PubSub 网络访问控制。 | 审计;否认;禁用 | 1.0.0 |
| Azure Web PubSub 服务应使用支持专用链接的 SKU | 借助受支持的 SKU,Azure 专用链接允许将虚拟网络连接到 Azure 服务,而无需在源或目标处提供公共 IP 地址。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Web PubSub 服务,可以降低数据泄露风险。 详细了解专用链接: Azure Web PubSub 服务专用终结点。 | 审计;否认;禁用 | 1.0.0 |
| Azure Web PubSub 服务应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure Web PubSub 服务,可以降低数据泄露风险。 详细了解专用链接: Azure Web PubSub 服务专用终结点。 | 审计;禁用 | 1.0.0 |
| 机器人服务应禁用公用网络访问 | 机器人应设置为“仅隔离”模式。 此设置配置机器人服务通道,这些通道要求禁用通过公共 Internet 的流量。 | 审计;否认;禁用 | 1.0.0 |
| BotService 资源应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 BotService 资源,可以降低数据泄露风险。 | 审计;禁用 | 1.0.0 |
| 容器应用环境应禁用公用网络访问 | 通过内部负载均衡器公开容器应用环境,禁用公共网络访问以提高安全性。 这消除了公共 IP 地址的需求,并阻止 Internet 访问环境中的所有容器应用。 | 审计;否认;禁用 | 1.1.0 |
| 容器注册表应包含支持专用链接的 SKU | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到容器注册表(而不是整个服务)可以降低数据泄露的风险。 有关详细信息,请通过 ACR 的专用链接设置专用终结点。 | 审计;否认;禁用 | 1.0.0 |
| 容器注册表不得允许无限制的网络访问 | 默认情况下,Azure 容器注册表接受来自任何网络上的主机的 Internet 连接。 为了防止注册表受到潜在的威胁,只允许来自特定的专用终结点、公共 IP 地址或地址范围的访问。 如果注册表没有配置网络规则,它将出现在不正常资源中。 在此处详细了解容器注册表网络规则: 使用 ACR 专用链接设置专用终结点、 在 Azure 中配置公共注册表访问 ,以及 使用服务终结点限制对 Azure 容器注册表的访问。 | 审计;否认;禁用 | 2.0.0 |
| 容器注册表应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。通过将专用终结点映射到容器注册表,而不是整个服务,还可以防范数据泄露风险。 有关详细信息,请通过 ACR 的专用链接设置专用终结点。 | 审计;禁用 | 1.0.1 |
| CosmosDB 帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 CosmosDB 帐户,可以降低数据泄露风险。 详细了解专用链接,请参阅: 为 Azure Cosmos DB 帐户配置 Azure 专用链接。 | 审计;禁用 | 1.0.0 |
| 磁盘访问资源应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 diskAccesses,可以降低数据泄露风险。 详细了解专用链接: 限制对托管磁盘的导入/导出访问。 | AuditIfNotExists;禁用 | 1.0.0 |
| ElasticSan 应禁用公用网络访问 | 禁用 ElasticSan 的公共网络访问,以便无法通过公共 Internet 访问它。 这样可以减少数据泄露风险。 | 审计;否认;禁用 | 1.0.0 |
| 事件中心命名空间应禁用公用网络访问 | Azure 事件中心应禁用公用网络访问。 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 了解详细信息: 允许通过专用终结点访问 Azure 事件中心命名空间 | 审计;否认;禁用 | 1.0.0 |
| 事件中心命名空间应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到事件中心命名空间,可以降低数据泄露风险。 有关详细信息,请查看: 允许通过专用终结点访问 Azure 事件中心命名空间。 | AuditIfNotExists;禁用 | 1.0.0 |
| 函数应用槽应禁用公用网络访问 | 禁用公用网络访问可确保函数应用不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制函数应用的公开。 有关详细信息,请查看: 使用适用于应用的专用终结点。 | 审计;禁用;否认 | 1.1.0 |
| 函数应用应禁用公用网络访问 | 禁用公用网络访问可确保函数应用不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制函数应用的公开。 有关详细信息,请查看: 使用适用于应用的专用终结点。 | 审计;禁用;否认 | 1.1.0 |
| IoT Central 应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 IoT Central 应用程序而不是整个服务,可以降低数据泄露风险。 详细了解专用链接,网址为: 在 IoT Central 中使用专用终结点的网络安全。 | 审计;否认;禁用 | 1.0.0 |
| IoT 中心设备预配服务实例应禁用公用网络访问 | 禁用公用网络访问可确保 IoT 中心设备预配服务实例不会在公共 Internet 中公开,从而可提高安全性。 创建专用终结点可以限制 IoT 中心设备预配实例的公开。 有关详细信息,请查看: DPS 的虚拟网络连接。 | 审计;否认;禁用 | 1.0.0 |
| IoT 中心设备预配服务实例应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 IoT 中心设备预配服务可以降低数据泄露风险。 详细了解专用链接,网址: DPS 的虚拟网络连接。 | 审计;禁用 | 1.0.0 |
| Log Analytics 工作区应阻止来自公共网络的日志引入和查询 | 通过阻止来自公共网络的日志引入和查询来改善工作区的安全性。 只有已连接到专用链接的网络才能引入和查询有关此工作区的日志。 有关详细信息,请参阅 使用 Azure 专用链接将网络连接到 Azure Monitor。 | 审计;审计;否认;否认;禁用;禁用 | 1.1.0 |
| 托管磁盘应禁用公用网络访问 | 禁用公用网络访问可确保托管磁盘不会在公共 Internet 上公开,从而提高了安全性。 创建专用终结点可以限制托管磁盘的公开。 有关详细信息,请访问: 限制对托管磁盘的导入/导出访问。 | 审计;否认;禁用 | 2.1.0 |
| 应启用 Azure SQL 数据库上的专用终结点连接 | 专用终结点连接通过实现专用连接到 Azure SQL 数据库来确保安全的通信。 | 审计;禁用 | 1.1.0 |
| 应为 MariaDB 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MariaDB 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应为 MySQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for MySQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应为 PostgreSQL 服务器启用专用终结点 | 专用终结点连接通过启用到 Azure Database for PostgreSQL 的专用连接来加强安全通信。 配置专用终结点连接,以启用对仅来自已知网络的流量的访问,并防止访问所有其他 IP 地址,包括 Azure 内的地址。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应禁用适用于 IoT 中心帐户的 Azure 设备更新的公共网络访问 | 禁用公共网络访问属性可确保只能通过专用终结点访问 IoT 中心帐户的 Azure 设备更新来提高安全性。 | 审计;否认;禁用 | 1.0.0 |
| 应在 Azure 数据资源管理器上禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure 数据资源管理器,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 | 审计;否认;禁用 | 1.0.0 |
| 应禁用对 Azure 数据工厂的公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure 数据工厂,从而提高安全性。 | 审计;否认;禁用 | 1.0.0 |
| 应禁用对 Azure IoT 中心进行公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure IoT 中心,从而提高安全性。 | 审计;否认;禁用 | 1.0.0 |
| 应禁用 Azure SQL 数据库上的公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure SQL 数据库,从而提高安全性。 此配置拒绝所有符合基于 IP 或虚拟网络的防火墙规则的登录。 | 审计;否认;禁用 | 1.1.0 |
| 应禁用对 Azure 文件同步进行公用网络访问 | 禁用公共终结点可限制对存储同步服务资源的访问,仅允许发往组织网络中已批准的专用终结点的请求。 允许向公共终结点发出请求不会固有地造成安全问题,但你可能出于满足法规、法律或组织政策要求的原因而希望禁用公共终结点。 可以通过将资源的 incomingTrafficPolicy 设置为 AllowVirtualNetworksOnly 来禁用存储同步服务的公共终结点。 | 审计;否认;禁用 | 1.0.0 |
| 应对批处理帐户禁用公用网络访问 | 禁用批处理帐户上的公用网络访问可确保只能从专用终结点访问批处理帐户,从而提高安全性。 详细了解如何在 将专用终结点与 Azure Batch 帐户配合使用时禁用公用网络访问。 | 审计;否认;禁用 | 1.0.0 |
| 应禁用通过公用网络访问容器注册表 | 禁用公用网络访问可确保容器注册表不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以避免容器注册表资源暴露。 有关详细信息,请参阅: 在 Azure 中配置公共注册表访问 ,并使用 ACR 的专用链接设置专用终结点。 | 审计;否认;禁用 | 1.0.0 |
| 应为 IoT Central 禁用公用网络访问 | 为了提高 IoT Central 的安全性,请确保它不会公开到公共 Internet,并且只能从专用终结点访问。 根据 为 Azure IoT Central 创建专用终结点中所述禁用公用网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | 审计;否认;禁用 | 1.0.0 |
| 应为 MariaDB 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MariaDB。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | 审计;否认;禁用 | 2.0.0 |
| 应为 MariaDB 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MariaDB。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | 审计;否认;禁用 | 2.0.0 |
| 应为 MySQL 灵活服务器禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure Database for MySQL 灵活服务器,从而提高安全性。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | 审计;否认;禁用 | 2.3.0 |
| 应为 MySQL 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for MySQL。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | 审计;否认;禁用 | 2.0.0 |
| 应为 PostgreSQL 灵活服务器禁用公用网络访问 | 禁用公用网络访问属性可确保只能从专用终结点访问 Azure Database for PostgreSQL 灵活服务器,从而提高安全性。 此配置严格禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与基于 IP 的防火墙规则匹配的所有登录。 | 审计;否认;禁用 | 3.1.0 |
| 应为 PostgreSQL 服务器禁用公用网络访问 | 禁用公用网络访问属性以提高安全性,并确保只能从专用终结点访问 Azure Database for PostgreSQL。 此配置禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 | 审计;否认;禁用 | 2.0.1 |
| 服务总线命名空间应禁用公用网络访问 | Azure 服务总线应禁用公用网络访问。 禁用公用网络访问可确保资源不会在公共 Internet 上公开,从而提高了安全性。 你可以通过创建专用终结点来限制资源的公开。 了解详细信息: 允许通过专用终结点访问 Azure 服务总线命名空间 | 审计;否认;禁用 | 1.1.0 |
| 应禁止存储帐户公共访问 | 对 Azure 存储中的容器和 blob 进行匿名公共读取访问虽然是共享数据的一种简便方法,但可能会带来安全风险。 为了防止不希望的匿名访问导致数据泄露,Microsoft 建议禁止对存储帐户的公共访问,除非你的方案需要。 | 审计;审计;否认;否认;禁用;禁用 | 3.1.1 |
| 存储帐户应禁用公用网络访问 | 若要提高存储帐户的安全性,请确保它不会暴露到公共 Internet,并且只能从专用终结点访问。 禁用存储帐户 公共网络访问中所述的公共网络访问属性。 此选项禁止访问 Azure IP 范围之外的任何公共地址空间,并拒绝与 IP 或基于虚拟网络的防火墙规则匹配的所有登录。 这样会降低数据泄露风险。 | 审计;否认;禁用 | 1.0.1 |
| 应限制对存储帐户的网络访问 | 应限制对存储帐户的网络访问。 配置网络规则,以便只允许来自允许的网络的应用程序访问存储帐户。 若要允许来自特定 Internet 或本地客户端的连接,可以向来自特定 Azure 虚拟网络的流量或公共 Internet IP 地址范围授予访问权限 | 审计;否认;禁用 | 1.1.1 |
| 存储帐户应使用虚拟网络规则来限制网络访问 | 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 | 审计;否认;禁用 | 1.0.1 |
| 存储帐户应使用虚拟网络规则限制网络访问(不包括 Databricks 创建的存储帐户) | 使用虚拟网络规则作为首选方法(而不使用基于 IP 的筛选),保护存储帐户免受潜在威胁危害。 禁用基于 IP 的筛选可以阻止公共 IP 访问你的存储帐户。 | 审计;否认;禁用 | 1.0.0 |
| 存储帐户应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 在 - 什么是 Azure 专用链接中了解有关专用链接的详细信息? | AuditIfNotExists;禁用 | 2.0.0 |
| 存储帐户应使用专用链接(不包括 Databricks 创建的存储帐户) | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到存储帐户可以降低数据泄露风险。 在 - 什么是 Azure 专用链接中了解有关专用链接的详细信息? | AuditIfNotExists;禁用 | 1.0.0 |
| VM 映像生成器模板应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 将专用终结点映射到 VM 映像生成器生成资源可以降低数据泄露的风险。 详细了解专用链接,请参阅: Azure VM 映像生成器网络选项 - 使用现有 VNET 进行部署。 | 审计;禁用;否认 | 1.1.0 |
| [预览]:Azure Key Vault 托管 HSM 应禁用公用网络访问 | 禁用对 Azure Key Vault 托管 HSM 的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请查看: 允许受信任的服务访问托管 HSM。 | 审计;否认;禁用 | 1.0.0-preview |
| [预览]:Azure Key Vault 托管 HSM 应使用专用链接 | 专用链接提供了一种将 Azure Key Vault 托管 HSM 连接到 Azure 资源,而无需通过公共 Internet 发送流量的方法。 专用链接提供深度防御,可防范数据外泄。 有关详细信息,请查看: 将托管 HSM 与 Azure 专用链接集成 | 审计;禁用 | 1.0.0-preview |
| [预览版]:Azure 恢复服务保管库应使用专用链接进行备份 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 详细了解专用链接: 创建和使用 Azure 备份的专用终结点。 | 审计;禁用 | 2.0.0-preview |
| [预览版]:恢复服务保管库应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到 Azure 恢复服务保管库,可以减少数据泄漏风险。 详细了解 Azure Site Recovery 的专用链接: 为具有专用终结点的本地计算机启用复制 ,并在 Azure Site Recovery 中为专用终结点启用复制。 | 审计;禁用 | 1.0.0-preview |
NS-3:在企业网络边缘部署防火墙
有关详细信息,请参阅 “网络安全:NS-3:在企业网络边缘部署防火墙”。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应禁用虚拟机上的 IP 转发 | 在虚拟机的 NIC 上启用 IP 转发可让该计算机接收发往其他目标的流量。 极少需要启用 IP 转发(例如,将 VM 用作网络虚拟设备时),因此,此策略应由网络安全团队评审。 | AuditIfNotExists;禁用 | 3.0.0 |
| 应通过即时网络访问控制来保护虚拟机的管理端口 | 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 | AuditIfNotExists;禁用 | 3.0.0 |
| 应关闭虚拟机上的管理端口 | 打开远程管理端口会使 VM 暴露在较高级别的 Internet 攻击风险之下。 此类攻击试图暴力破解凭据,来获取对计算机的管理员访问权限。 | AuditIfNotExists;禁用 | 3.0.0 |
| [预览]:所有 Internet 流量都应通过所部署的 Azure 防火墙进行路由 | Azure 安全中心已确认,你的某些子网未使用下一代防火墙进行保护。 通过使用 Azure 防火墙或受支持的下一代防火墙限制对子网的访问,保护子网免受潜在威胁的危害 | AuditIfNotExists;禁用 | 3.0.0-preview |
NS-5:部署 DDOS 防护
有关详细信息,请参阅 网络安全:NS-5:部署 DDOS 保护。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应启用 Azure DDoS 防护 | 应对具有相关子网(属于具有公共 IP 的应用程序网关)的所有虚拟网络启用 DDoS 防护。 | AuditIfNotExists;禁用 | 3.0.1 |
| 虚拟网络应受 Azure DDoS 防护保护 | 使用 Azure DDoS 防护来保护虚拟网络免受容量耗尽攻击和协议攻击。 有关详细信息,请访问 Azure DDoS 防护概述。 | 修改;审计;禁用 | 1.0.1 |
NS-6:部署 Web 应用程序防火墙
有关详细信息,请参阅 网络安全:NS-6:部署 Web 应用程序防火墙。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应为 Azure Front Door 入口点启用 Azure Web 应用程序防火墙 | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | 审计;否认;禁用 | 1.0.2 |
| 应为应用程序网关启用 Web 应用程序防火墙 (WAF) | 将 Azure Web 应用程序防火墙 (WAF) 部署在面向公众的 Web 应用程序的前面,以便对传入流量进行额外检查。 Web 应用程序防火墙 (WAF) 为 Web 应用程序提供集中保护,使其免受常见攻击和漏洞的侵害,例如 SQL 注入、跨站脚本以及本地和远程文件执行。 还可以通过自定义规则按国家/地区、IP 地址范围和其他 http(s) 参数限制对 Web 应用程序的访问。 | 审计;否认;禁用 | 2.0.0 |
NS-8:检测和禁用不安全服务和协议
有关详细信息,请参阅 网络安全:NS-8:检测和禁用不安全服务和协议。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应用服务应用应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists;禁用 | 2.2.0 |
| 函数应用应使用最新 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists;禁用 | 2.3.0 |
PA-1:隔离并限制高特权/管理员用户
有关详细信息,请参阅 Privileged Access:PA-1:单独和限制高特权/管理用户。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 最多应为订阅指定 3 个所有者 | 建议最多指定 3 个订阅所有者,以减少可能出现的已遭入侵的所有者做出的违规行为。 | AuditIfNotExists;禁用 | 3.0.0 |
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists;禁用 | 1.0.0 |
| 您的订阅应被分配给多位所有者 | 建议指定多个订阅所有者,这样才会有管理员访问冗余。 | AuditIfNotExists;禁用 | 3.0.0 |
PA-2:避免对用户帐户和权限进行长期访问
有关详细信息,请参阅 Privileged Access:PA-2:避免对用户帐户和权限进行永久访问。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应通过即时网络访问控制来保护虚拟机的管理端口 | 建议通过 Azure 安全中心监视可能的网络适时 (JIT) 访问 | AuditIfNotExists;禁用 | 3.0.0 |
PA-4:定期查看和协调用户访问
有关详细信息,请参阅 Privileged Access:PA-4:定期查看和协调用户访问。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应删除对 Azure 资源拥有所有者权限的已封锁帐户 | 应从订阅中删除拥有所有者权限的已弃用帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应删除对 Azure 资源拥有读取和写入权限的已封锁帐户 | 应从订阅中删除弃用的帐户。 已弃用帐户是已阻止登录的帐户。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应删除对 Azure 资源拥有所有者权限的来宾帐户 | 为了防止发生未受监视的访问,应从订阅中删除拥有所有者权限的外部帐户。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应删除对 Azure 资源拥有读取权限的来宾帐户 | 应从订阅中删除拥有读取特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应删除对 Azure 资源拥有写入权限的来宾帐户 | 应从订阅中删除拥有写入特权的外部帐户,以防发生未受监视的访问。 | AuditIfNotExists;禁用 | 1.0.0 |
PA-7:遵循足够的管理(最低特权)原则
有关详细信息,请参阅 Privileged Access:PA-7:遵循足够的管理(最低特权)原则。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| API 管理订阅的范围不应为所有 API | API 管理订阅的范围应限定为产品或单个 API,而不是所有 API,后者可能会导致过多的数据泄露。 | 审计;禁用;否认 | 1.1.0 |
| 审核自定义 RBAC 角色的使用情况 | 审核“所有者、参与者、读者”等内置角色而不是容易出错的自定义 RBAC 角色。 使用自定义角色被视为例外,需要进行严格的审查和威胁建模 | 审计;禁用 | 1.0.1 |
| Azure Key Vault 应使用 RBAC 权限模型 | 启用适用于所有 Key Vault 的 RBAC 权限模型。 了解详细信息: 从保管库访问策略迁移到 Azure 基于角色的访问控制权限模型 | 审计;否认;禁用 | 1.0.1 |
| 应在 Kubernetes 服务中使用基于角色的访问控制 (RBAC) | 若要对用户可以执行的操作提供粒度筛选,请使用基于角色的访问控制 (RBAC) 来管理 Kubernetes 服务群集中的权限并配置相关授权策略。 | 审计;禁用 | 1.1.0 |
PV-2:审核并强制执行安全配置
有关详细信息,请参阅 “状况和漏洞管理:PV-2:审核并强制实施安全配置”。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 不应启用 API 管理直接管理接口 | Azure API 管理中的直接管理 REST API 会绕过 Azure 资源管理器基于角色的访问控制、授权和限制机制,因此会增加服务的漏洞。 | 审计;禁用;否认 | 1.0.2 |
| 应用服务应用应启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应用服务应用应已禁用远程调试 | 远程调试需要在应用服务上打开入站端口。 应禁用远程调试。 | AuditIfNotExists;禁用 | 2.0.0 |
| 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许必要的域名与应用交互。 | AuditIfNotExists;禁用 | 2.0.0 |
| Azure API 管理平台版本应为 stv2 | Azure API 管理 stv1 计算平台版本将于 2024 年 8 月 31 日起停用,这些实例应迁移到 stv2 计算平台以获得持续支持。 有关详细信息,请参阅 API 管理 stv1 平台停用 - 全球 Azure 云(2024 年 8 月) | 审计;否认;禁用 | 1.0.0 |
| 已启用 Azure Arc 的 Kubernetes 群集应已安装 Azure Policy 扩展 | Azure Arc 的 Azure Policy 扩展以集中、一致的方式在已启用 Arc 的 Kubernetes 群集上提供大规模强制措施和安全措施。 在 了解适用于 Kubernetes 群集的 Azure Policy 中了解详细信息。 | AuditIfNotExists;禁用 | 1.1.0 |
| 应重新创建 Azure 机器学习计算实例以获取最新的软件更新 | 确保 Azure 机器学习计算实例在最新的可用操作系统上运行。 通过使用最新的安全修补程序运行,提高了安全性并减少了漏洞。 有关详细信息,请访问 漏洞管理。 | n/a | 1.0.3 |
| 应在群集上安装并启用用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项 | 用于 Kubernetes 服务 (AKS) 的 Azure Policy 加载项扩展了 Gatekeeper v3(用于开放策略代理 (OPA) 的许可控制器 Webhook),以集中、一致的方式在群集上应用大规模强制措施和安全措施。 | 审计;禁用 | 1.0.2 |
| 确保函数应用已启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists;禁用 | 1.1.0 |
| 函数应用应已禁用远程调试 | 远程调试需要在函数应用程序上打开入站端口。 应禁用远程调试。 | AuditIfNotExists;禁用 | 2.1.0 |
| 函数应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许指定的域与函数应用交互。 | AuditIfNotExists;禁用 | 2.1.0 |
| Kubernetes 群集容器 CPU 和内存资源限制不得超过指定的限制 | 强制实施容器 CPU 和内存资源限制,以防止 Kubernetes 群集中发生资源耗尽攻击。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;审计;否认;否认;禁用;禁用 | 9.3.0 |
| Kubernetes 群集容器不应共享主机命名空间 | 阻止 Pod 容器共享 Kubernetes 群集中的主机进程 ID 命名空间、主机 IPC 命名空间和主机网络命名空间。 此建议符合主机命名空间的 Kubernetes Pod 安全标准,是 CIS 5.2.1、5.2.2 和 5.2.3 的一部分,旨在提高 Kubernetes 环境的安全性。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;否认;禁用 | 6.0.0 |
| Kubernetes 群集容器只应使用允许的 AppArmor 配置文件 | 容器只应使用 Kubernetes 群集中允许的 AppArmor 配置文件。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;审计;否认;否认;禁用;禁用 | 6.2.1 |
| Kubernetes 群集容器只应使用允许的功能 | 限制功能以减小 Kubernetes 群集中容器的受攻击面。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.8 和 CIS 5.2.9 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;审计;否认;否认;禁用;禁用 | 6.2.0 |
| Kubernetes 群集容器应只使用允许的映像 | 使用受信任注册表中的映像,以降低 Kubernetes 群集暴露于未知漏洞、安全问题和恶意映像的风险。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;审计;否认;否认;禁用;禁用 | 9.3.0 |
| Kubernetes 群集容器应使用只读根文件系统运行 | 运行使用只读根文件系统的容器,以防止在运行时发生更改而导致恶意二进制文件添加到 Kubernetes 群集中的 PATH。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;审计;否认;否认;禁用;禁用 | 6.3.0 |
| Kubernetes 群集 Pod hostPath 卷只应使用允许的主机路径 | 仅限将 Pod HostPath 卷装载到 Kubernetes 群集中允许的主机路径。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;审计;否认;否认;禁用;禁用 | 6.3.0 |
| Kubernetes 群集 Pod 和容器只应使用批准的用户 ID 和组 ID 运行 | 限制 Pod 和容器在 Kubernetes 集群中运行时可以使用的用户 ID、主要组 ID、补充组 ID 和文件系统组 ID。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;审计;否认;否认;禁用;禁用 | 6.2.0 |
| Kubernetes 群集中的 Pod 应仅使用经过批准的主机网络和端口列表 | 限制 Pod 对主机网络和 Kubernetes 群集中允许的主机端口的访问。 此建议是 CIS 5.2.4 的一部分,旨在提高 Kubernetes 环境的安全性,并与 HostPorts 的 Pod 安全标准(PSS)保持一致。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;否认;禁用 | 7.0.0 |
| Kubernetes 群集服务应只侦听允许的端口 | 将服务限制为只侦听允许的端口,以保护对 Kubernetes 集群的访问。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;审计;否认;否认;禁用;禁用 | 8.2.0 |
| Kubernetes 群集不应允许特权容器 | 不允许在 Kubernetes 群集中创建特权容器。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.1 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;审计;否认;否认;禁用;禁用 | 9.2.0 |
| Kubernetes 群集应禁用自动装载 API 凭据 | 禁用自动装载 API 凭据,以防止可能泄露的 Pod 资源对 Kubernetes 群集运行 API 命令。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;审计;否认;否认;禁用;禁用 | 4.2.0 |
| Kubernetes 群集不得允许容器特权提升 | 不允许容器在 Kubernetes 集群中通过特权升级获取 root 权限。 此建议是旨在提高 Kubernetes 环境安全性的 CIS 5.2.5 的一部分。 此策略通常适用于 Kubernetes 服务 (AKS) 以及已启用 Azure Arc 的 Kubernetes 的预览版。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;否认;禁用 | 8.0.0 |
| Kubernetes 群集不应授予 CAP_SYS_ADMIN 安全功能 | 为了减小容器的受攻击面,请限制 CAP_SYS_ADMIN Linux 功能。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;审计;否认;否认;禁用;禁用 | 5.1.0 |
| Kubernetes 群集不应使用默认命名空间 | 防止在 Kubernetes 群集中使用默认命名空间,以防止对 ConfigMap、Pod、Secret、Service 和 ServiceAccount 资源类型进行的未经授权的访问。 有关详细信息,请参阅了解适用于 Kubernetes 群集的 Azure Policy。 | 审计;审计;否认;否认;禁用;禁用 | 4.2.0 |
PV-4:审核并强制实施计算资源的安全配置
有关详细信息,请参阅 “状况和漏洞管理:PV-4:审核并强制实施计算资源的安全配置”。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应在计算机上安装来宾配置扩展 | 若要确保安全配置计算机的来宾内设置,请安装来宾配置扩展。 该扩展监视的来宾内设置包括操作系统的配置、应用程序配置或状态以及环境设置。 安装后,来宾系统内策略将可用,如“应启用 Windows 漏洞防护”。 有关详细信息,请参阅 “了解 Azure 计算机配置”。 | AuditIfNotExists;禁用 | 1.0.3 |
| Linux 计算机应符合 Azure 计算安全基线的要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 “了解 Azure 计算机配置”。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置,则计算机不合规。 | AuditIfNotExists;禁用 | 2.3.0 |
| 应使用系统分配的托管标识来部署虚拟机的来宾配置扩展 | 来宾配置扩展需要系统分配的托管标识。 如果安装了来宾配置扩展,但没有系统分配的托管标识,则此策略作用域内的 Azure 虚拟机是不合规的。 在了解 Azure 计算机配置中了解详细信息 | AuditIfNotExists;禁用 | 1.0.1 |
| Windows 计算机应符合 Azure 计算安全基线的要求 | 要求将先决条件部署到策略分配范围。 有关详细信息,请访问 “了解 Azure 计算机配置”。 如果计算机未根据 Azure 计算安全基线中的某条建议进行正确配置,则计算机不合规。 | AuditIfNotExists;禁用 | 2.1.0 |
| [预览版]:Azure Stack HCI 服务器应一致地强制实施应用程序控制策略 | 至少在所有 Azure Stack HCI 服务器上以强制模式应用 Microsoft WDAC 基本策略。 应用的 Windows Defender 应用程序控制 (WDAC) 策略必须在同一群集中的服务器之间保持一致。 | 审计;禁用;AuditIfNotExists | 1.0.0-preview |
| [预览版]:Azure Stack HCI 服务器应满足安全核心要求 | 确保所有 Azure Stack HCI 服务器都满足安全核心要求。 若要启用安全核心服务器要求:1。 在 Azure Stack HCI 群集页中,转到 Windows Admin Center 并选择“连接”。 2. 转到“安全扩展插件”并选择“安全核心”。 3. 选择未启用的任何设置,然后单击“启用”。 | 审计;禁用;AuditIfNotExists | 1.0.0-preview |
| [预览版]:应在支持的 Linux 虚拟机上安装来宾证明扩展 | 在受支持的 Linux 虚拟机上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机。 | AuditIfNotExists;禁用 | 6.0.0-preview |
| [预览版]:应在支持的 Linux 虚拟机规模集上安装来宾证明扩展 | 在受支持的 Linux 虚拟机规模集上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Linux 虚拟机规模集。 | AuditIfNotExists;禁用 | 5.1.0-preview |
| [预览版]:应在支持的 Windows 虚拟机上安装来宾证明扩展 | 在受支持的虚拟机上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Windows 虚拟机。 | AuditIfNotExists;禁用 | 4.0.0-preview |
| [预览版]:应在支持的 Windows 虚拟机规模集上安装来宾证明扩展 | 在受支持的虚拟机规模集上安装来宾证明扩展,使 Azure 安全中心能够主动证明并监视启动完整性。 安装后,将通过远程证明来证明启动完整性。 此评估适用于受信任启动和机密 Windows 虚拟机规模集。 | AuditIfNotExists;禁用 | 3.1.0-preview |
| [预览]:Linux 虚拟机应仅使用已签名且受信任的启动组件 | 所有 OS 启动组件(启动加载程序、内核、内核驱动程序)都必须由受信任的发布者签名。 Defender for Cloud 已识别一个或多个 Linux 虚拟机上不受信任的 OS 启动组件。 若要保护计算机免受潜在恶意组件的攻击,请将它们添加到你的允许列表,或删除已识别的组件。 | AuditIfNotExists;禁用 | 1.0.0-preview |
| [预览版]:应在支持的 Windows 虚拟机上启用安全启动 | 在受支持的 Windows 虚拟机上启用安全启动,以减少对启动链的恶意和未经授权的更改。 启用后,只允许运行受信任的启动加载程序、内核和内核驱动程序。 此评估适用于受信任启动和机密 Windows 虚拟机。 | 审计;禁用 | 4.0.0-preview |
| [预览版]:应在支持的虚拟机上启用 vTPM | 在受支持的虚拟机上启用虚拟 TPM 设备,以帮助实现受度量启动和其他需要 TPM 的 OS 安全功能。 启用后,vTPM 可用于证明引导完整性。 此评估仅适用于已启用受信任启动的虚拟机。 | 审计;禁用 | 2.0.0-preview |
PV-5:执行漏洞评估
有关详细信息,请参阅 “状况和漏洞管理:PV-5:执行漏洞评估”。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| 应在虚拟机上启用漏洞评估解决方案 | 审核虚拟机以检测其是否正在运行受支持的漏洞评估解决方案。 每个网络风险和安全计划的核心部分都是识别和分析漏洞。 Azure 安全中心的标准定价层包括对虚拟机进行漏洞扫描,无需额外付费。 此外,安全中心可以自动为你部署此工具。 | AuditIfNotExists;禁用 | 3.0.0 |
| 计算机应已解决机密结果 | 审核虚拟机以检测它们是否包含虚拟机上机密扫描解决方案的机密发现结果。 | AuditIfNotExists;禁用 | 1.0.2 |
| 应在 SQL 托管实例上启用漏洞评估 | 审核未启用定期漏洞评估扫描的每个 SQL 托管实例。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists;禁用 | 1.0.1 |
| 应对 SQL 服务器启用漏洞评估 | 审核未正确配置漏洞评估的 Azure SQL 服务器。 漏洞评估可发现、跟踪和帮助你修正潜在数据库漏洞。 | AuditIfNotExists;禁用 | 3.0.0 |
PV-6:快速自动修正漏洞
有关详细信息,请参阅 “状况和漏洞管理:PV-6:快速自动修正漏洞”。
| Name | Description | 效果 | 版本 |
|---|---|---|---|
| Azure 注册表容器映像应已解决漏洞(由 Microsoft Defender 漏洞管理提供支持) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 解决漏洞可以极大地改善安全状况,确保在部署之前可以安全地使用映像。 | AuditIfNotExists;禁用 | 1.0.1 |
| 在 Azure 上运行的容器映像应已修复漏洞(由 Microsoft Defender 漏洞管理驱动) | 容器映像漏洞评估会扫描注册表中的常见漏洞 (CVE),并为每个映像提供详细的漏洞报告。 此建议可显示出 Kubernetes 群集中当前运行的易受攻击映像。 修正当前正在运行的容器映像中的漏洞是改善安全状况的关键,可显著减少容器化工作负载的攻击面。 | AuditIfNotExists;禁用 | 1.0.1 |
| 计算机应配置为定期检查缺少的系统更新 | 为确保每 24 小时自动触发对缺失系统更新的定期评估,AssessmentMode 属性应设置为“AutomaticByPlatform”。 详细了解适用于 Windows 的 AssessmentMode 属性:适用于 Linux 的 Windows 修补程序评估模式: Linux 修补程序评估模式。 | 审计;否认;禁用 | 3.9.0 |
| SQL 数据库应解决漏洞发现 | 监视漏洞评估扫描结果,并提供有关如何消除数据库漏洞的建议。 | AuditIfNotExists;禁用 | 4.1.0 |
| 计算机上的 SQL 服务器应已解决漏洞发现 | SQL 漏洞评估会扫描数据库中的安全漏洞,并显示与最佳做法之间的任何偏差,例如配置错误、权限过多和敏感数据未受保护。 解决发现的漏洞可以极大地改善数据库安全态势。 | AuditIfNotExists;禁用 | 1.0.0 |
| 应在计算机上安装系统更新(由更新中心提供技术支持) | 计算机缺少系统、安全和关键更新。 软件更新通常包括安全漏洞的关键补丁。 恶意软件攻击中经常会利用这些漏洞,因此保持软件更新至关重要。 若要安装所有重要补丁并保护你的计算机,请遵循修正步骤。 | AuditIfNotExists;禁用 | 1.0.1 |
后续步骤
- 有关控制详细信息的详细信息,请查看 Microsoft云安全基准 。
- 通过 Azure 门户分配策略
- 详细了解 Azure Policy